Windows 11'de VPN Bağlanmıyor mu? Hata Kodları ve Kesin Çözümler

Windows 11'de VPN Neden Çalışmıyor?

Eğer bu yazıya ulaştıysanız, muhtemelen şu an VPN'iniz bağlanmıyor ve çözüm arıyorsunuz. Yalnız değilsiniz — Windows 11 kullanıcıları, özellikle kurumsal ortamlarda çalışan BT profesyonelleri, VPN bağlantı sorunlarıyla sürekli karşılaşıyor.

Güvenlik duvarı blokları, eski DNS önbelleği, yazılım uyumsuzlukları ve en sinir bozucu olanı: Windows güncelleme kaynaklı protokol değişiklikleri. Evet, bazen Microsoft'un kendi güncellemeleri VPN'inizi kullanılamaz hale getiriyor.

Bu rehberde Windows 11 24H2 ve 25H2 sürümlerindeki VPN sorunlarını, hata kodlarını, PowerShell yapılandırmalarını ve pratik çözüm adımlarını ele alacağız. BT helpdesk'te çalışıyorsanız, bu sayfayı yer imlerinize eklemenizi öneririm — işinize yarayacak.

Windows 11 Güncellemeleri ve VPN Uyumluluk Sorunları

24H2 Güncellemesinin VPN Üzerindeki Etkisi

Windows 11 24H2'ye yükseltme sonrasında birçok kullanıcı VPN bağlantılarının tamamen kesildiğini bildirdi. Sorun, özellikle L2TP/IPsec ve IKEv2 protokollerini etkileyen sürücü değişikliklerinden kaynaklanıyor.

Microsoft bu durumu "Bilinen Sorun Geri Alma" (Known Issue Rollback — KIR) mekanizmasıyla düzeltmeye çalıştı, ama açıkçası tüm ortamlarda işe yaramadı.

KB5036893 güncellemesi, VPN bağlantılarını bozan en bilinen yamalardan biri. Bu güncelleme sonrasında kullanıcılar VPN'e bağlanamaz hale geldi. Microsoft daha sonra KB5037771 düzeltme güncellemesiyle sorunu giderdiğini duyurdu.

25H2 Sürümünde Devam Eden Sorunlar

2025 sonlarında dağıtılmaya başlanan Windows 11 25H2 de VPN sorunlarından muaf değil. Ne yazık ki yeni sürüm de kendi sorunlarını beraberinde getirdi:

• AWS VPN Client ve OpenVPN tabanlı istemcilerde bağlantı hataları bildiriliyor
• WSL (Windows Subsystem for Linux) aynalı ağ modu etkinken üçüncü taraf VPN uygulamalarında sorunlar oluşuyor
• L2TP/IPsec bağlantılarında Wi-Fi üzerinden belirgin hız düşüşleri gözlemleniyor

BT Yöneticileri İçin Acil Eylem Planı

Yönetilen cihazlarda KIR düzeltmesini zorlamak için Grup İlkesi aracılığıyla özel bir KIR politikası dağıtmanız gerekebilir. Şu PowerShell komutuyla güncel güncelleme durumunu kontrol edebilirsiniz:

Get-HotFix | Where-Object {$_.HotFixID -match "KB50"} | Sort-Object InstalledOn -Descending | Select-Object -First 10 HotFixID, InstalledOn, Description

En Sık Karşılaşılan VPN Hata Kodları ve Çözümleri

Hata 789 — L2TP/IPsec Güvenlik Katmanı Hatası

Hata Mesajı: "L2TP bağlantı girişimi, güvenlik katmanının uzak bilgisayarla ilk görüşme sırasında bir işleme hatasıyla karşılaşması nedeniyle başarısız oldu."

Nedeni: IPSec güvenlik ilişkilendirmesi (SA) kuruluşu başarısız oluyor. NAT arkasındaki cihazlar, yanlış sertifika yapılandırması veya IPsec servisi sorunları bu hataya yol açar. Helpdesk'e en çok gelen hatalardan biri budur.

Çözüm Adımları:

1. IPsec servislerini başlatın:

# IPsec servislerini kontrol et ve başlat
Get-Service -Name "PolicyAgent","IKEEXT" | Format-Table Name, Status, StartType

# Servisleri otomatik başlatma olarak ayarla
Set-Service -Name "PolicyAgent" -StartupType Automatic
Set-Service -Name "IKEEXT" -StartupType Automatic

# Servisleri başlat
Start-Service -Name "PolicyAgent"
Start-Service -Name "IKEEXT"

2. NAT geçişi için kayıt defteri düzeltmesini uygulayın:

# NAT arkasında L2TP bağlantısı için gerekli kayıt defteri ayarı
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent"
New-ItemProperty -Path $regPath -Name "AssumeUDPEncapsulationContextOnSendRule" -Value 2 -PropertyType DWord -Force

# Değişikliğin uygulanması için bilgisayarı yeniden başlatın
Write-Host "Kayıt defteri ayarı uygulandı. Bilgisayarı yeniden başlatmanız gerekiyor." -ForegroundColor Yellow

3. Güvenlik duvarında UDP 500, UDP 4500 ve ESP (IP Protokol 50) portlarının açık olduğundan emin olun

Hata 720 — WAN Miniport Bağdaştırıcı Hatası

Hata Mesajı: "VPN Bağlantısına bağlanılamıyor. Hata 720."

Nedeni: WAN Miniport (IP) bağdaştırıcısının doğru bağlanmaması veya bozulmuş ağ sürücüleri. Olay Günlüğü'nde genellikle Event ID 20227 ile birlikte görülür. Bu hata, tecrübeme göre özellikle güncelleme sonrası sıkça ortaya çıkıyor.

Çözüm Adımları:

1. Aygıt Yöneticisi'ni açın → Görünüm → Gizli Aygıtları Göster
2. Ağ Bağdaştırıcıları altındaki tüm WAN Miniport sürücülerini (L2TP, IP, PPTP, IKEv2) kaldırın
3. "Donanım değişikliklerini tara" ile sürücüleri yeniden yükleyin
4. Alternatif olarak komut satırından ağ yapılandırmasını sıfırlayabilirsiniz:

# Ağ yapılandırmasını tamamen sıfırla (Yönetici olarak çalıştırın)
netcfg -d

# TCP/IP yığınını sıfırla
netsh int ip reset
netsh winsock reset

# DNS önbelleğini temizle
ipconfig /flushdns

# Bilgisayarı yeniden başlat
shutdown /r /t 30 /c "VPN WAN Miniport düzeltmesi için yeniden başlatılıyor"

Hata 628 — Bağlantı Tamamlanmadan Kapandı

Nedeni: Sunucu tarafında bağlantı isteğinin reddedilmesi veya zaman aşımı. Yanlış VPN protokolü seçimi, güvenlik duvarı engeli ya da kimlik doğrulama uyumsuzluğu başlıca nedenler arasında.

Çözüm:

• VPN bağlantı özelliklerinde Güvenlik sekmesinden kimlik doğrulama yöntemini kontrol edin (PAP, CHAP, MS-CHAPv2)
• PPTP kullanıyorsanız güvenlik duvarında GRE (IP Protokol 47) ve TCP 1723 portlarını açın
• VPN sunucusunun erişilebilir olduğunu test edin:

# VPN sunucu erişilebilirliğini test et
Test-NetConnection -ComputerName "vpn.sirketiniz.com" -Port 443
Test-NetConnection -ComputerName "vpn.sirketiniz.com" -Port 500

# DNS çözümlemesini kontrol et
Resolve-DnsName -Name "vpn.sirketiniz.com" -Type A

Hata 800 — VPN Tüneli Oluşturulamadı

Nedeni: VPN sunucusuna ulaşılamıyor veya L2TP/IPsec tüneli için güvenlik parametreleri hatalı yapılandırılmış. Ağ zaman aşımı sorunları da bu hatayı tetikleyebilir.

Çözüm:

• VPN sunucu adresinin doğruluğunu kontrol edin (evet, bazen sorun bu kadar basit olabiliyor)
• İnternet bağlantınızın stabil olduğundan emin olun
• Proxy ayarlarını devre dışı bırakın: Ayarlar → Ağ ve İnternet → Proxy → Proxy sunucusu kullan → Kapalı
• Güvenlik duvarı kurallarını doğrulayın

Hata 809 — Uzak Sunucu Yanıt Vermiyor

Nedeni: İstemci ile VPN sunucusu arasındaki ağ cihazları (güvenlik duvarı, NAT, yönlendirici) VPN trafiğini engelliyor. Özellikle otel ve havaalanı gibi kısıtlı ağlarda sık karşılaşılır.

Çözüm:

• İstemci, sunucu ve tüm ara donanım güvenlik duvarlarında UDP 500 ve UDP 4500 portlarının açık olduğundan emin olun
• IPSec'in herhangi bir noktada devre dışı bırakılmadığını veya engellenmediğini doğrulayın
• Portları aşağıdaki betikle toplu olarak test edebilirsiniz:

# VPN için gerekli portları toplu olarak test et
$vpnServer = "vpn.sirketiniz.com"
$ports = @(500, 443, 1701, 4500, 1723)

foreach ($port in $ports) {
    $result = Test-NetConnection -ComputerName $vpnServer -Port $port -WarningAction SilentlyContinue
    [PSCustomObject]@{
        Sunucu = $vpnServer
        Port   = $port
        Durum  = if ($result.TcpTestSucceeded) { "Açık" } else { "Kapalı/Engelli" }
    }
} | Format-Table -AutoSize

PowerShell ile VPN Bağlantısı Kurulumu ve Yönetimi

Haydi işin pratik kısmına geçelim. BT helpdesk uzmanları ve sistem yöneticileri için PowerShell, VPN bağlantılarını toplu olarak yapılandırmanın ve yönetmenin en verimli yolu. GUI'den tek tek uğraşmak yerine birkaç komutla her şeyi halledebilirsiniz.

IKEv2 VPN Bağlantısı Oluşturma

# IKEv2 VPN bağlantısı oluştur
Add-VpnConnection -Name "Kurumsal VPN (IKEv2)" `
    -ServerAddress "vpn.sirketiniz.com" `
    -TunnelType Ikev2 `
    -EncryptionLevel Maximum `
    -AuthenticationMethod MachineCertificate `
    -RememberCredential `
    -SplitTunneling `
    -PassThru

# IPsec şifreleme ayarlarını güçlendirin
Set-VpnConnectionIPsecConfiguration `
    -ConnectionName "Kurumsal VPN (IKEv2)" `
    -AuthenticationTransformConstants SHA256128 `
    -CipherTransformConstants AES256 `
    -DHGroup Group14 `
    -EncryptionMethod AES256 `
    -IntegrityCheckMethod SHA256 `
    -PfsGroup PFS2048 `
    -PassThru

SSTP VPN Bağlantısı Oluşturma

# SSTP VPN bağlantısı oluştur
Add-VpnConnection -Name "Kurumsal VPN (SSTP)" `
    -ServerAddress "vpn.sirketiniz.com" `
    -TunnelType Sstp `
    -EncryptionLevel Required `
    -AuthenticationMethod MSChapv2 `
    -RememberCredential `
    -SplitTunneling `
    -PassThru

Mevcut VPN Bağlantılarını Listeleme ve Yönetme

# Tüm VPN bağlantılarını listele
Get-VpnConnection | Format-Table Name, ServerAddress, TunnelType, ConnectionStatus

# Belirli bir VPN bağlantısını kaldır
Remove-VpnConnection -Name "Eski VPN" -Force

# VPN bağlantı durumunu kontrol et
Get-VpnConnection -Name "Kurumsal VPN (IKEv2)" | Select-Object Name, ConnectionStatus, ServerAddress, TunnelType

VPN Protokol Karşılaştırması: L2TP vs IKEv2 vs SSTP

Windows 11'de doğru VPN protokolünü seçmek, bağlantı kararlılığı ve güvenlik açısından gerçekten önemli. Aşağıdaki tabloyla hangi protokolün sizin ortamınıza uygun olduğunu hızlıca görebilirsiniz:

Özellik	L2TP/IPsec	IKEv2	SSTP
Güvenlik	Orta-Yüksek	Yüksek	Yüksek
Hız	Orta	Yüksek	Orta
NAT Geçişi	Sorunlu (kayıt defteri düzeltmesi gerekebilir)	Sorunsuz	Sorunsuz
Güvenlik Duvarı Uyumu	Düşük (birden fazla port gerektirir)	Orta (UDP 500/4500)	Yüksek (TCP 443 — HTTPS ile aynı)
Mobil Uyumluluk	Sınırlı	Mükemmel (MOBIKE desteği)	Yalnızca Windows
Windows 11 Kararlılığı	Düşük (güncelleme sorunları)	Yüksek	Yüksek
Always On VPN Desteği	Hayır	Evet (Cihaz Tüneli)	Evet (Kullanıcı Tüneli)

Kişisel önerim: Windows 11 24H2/25H2 ortamlarında güncelleme kaynaklı sorunlardan en az etkilenen protokol IKEv2. NAT geçişi sorunlarından tamamen kaçınmak istiyorsanız SSTP'yi tercih edin — HTTPS (TCP 443) üzerinden çalıştığı için güvenlik duvarları tarafından engellenmesi neredeyse imkânsız.

Always On VPN Yapılandırması ve Sorun Giderme

Always On VPN (AOVPN), kullanıcı oturum açtığında, ağ değiştiğinde veya ekran yeniden açıldığında otomatik olarak bağlanan kurumsal düzeyde bir VPN çözümü. Doğru yapılandırıldığında son kullanıcının hiçbir şey yapmasına gerek kalmıyor — ama ilk kurulumu biraz uğraştırıcı olabiliyor.

Gereksinimler

• Windows 10/11 Enterprise veya Education sürümü
• Etki alanına katılmış cihaz (Cihaz Tüneli için)
• IKEv2 protokolü (Cihaz Tüneli için zorunlu)
• Geçerli makine sertifikası
• RRAS veya üçüncü taraf VPN sunucusu

Yaygın AOVPN Sorunları

• Sertifika Geçersiz: VPN sunucu sertifikasının süresinin dolmadığından ve istemcide güvenilir kök CA'nın yüklü olduğundan emin olun. Sertifika sorunları AOVPN hatalarının en yaygın nedeni.
• NPS İlke Hatası: Ağ İlkesi Sunucusu (NPS) yapılandırmasında doğru VPN sunucu IP'sinin tanımlı olduğunu kontrol edin
• Kimlik Doğrulama Hatası: NPS olay günlüklerini inceleyin — PEAP yalnızca sertifika kimlik doğrulamasına izin vermelidir

AOVPN Tanılama Komutları

# VPN bağlantı durumunu kontrol et
Get-VpnConnection | Where-Object {$_.ConnectionStatus -eq "Connected"} | Format-List *

# VPN profil yapılandırmasını dışa aktar (yedekleme)
Get-VpnConnection -Name "Always On VPN" | Export-Clixml -Path "$env:TEMP\vpn-backup.xml"

# Sertifika durumunu kontrol et
Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.EnhancedKeyUsageList -match "Client"} | Format-Table Thumbprint, Subject, NotAfter

# Olay günlüklerinde VPN hatalarını ara
Get-WinEvent -FilterHashtable @{LogName="Application"; ProviderName="RasClient"; Level=2} -MaxEvents 20 | Format-Table TimeCreated, Message -Wrap

Microsoft Intune ile Kurumsal VPN Dağıtımı

Intune kullanarak Windows 11 cihazlarına VPN profillerini merkezi olarak dağıtabilirsiniz. IKEv2, L2TP ve SSTP protokolleri destekleniyor. Ancak birkaç önemli nokta var ki bunları bilmeden profil oluşturursanız saatlerinizi boşa harcayabilirsiniz:

• Ön paylaşımlı anahtarlar (PSK) Intune tarafından desteklenmiyor — sertifikaların SCEP veya PKCS profilleriyle dağıtılması gerekiyor
• IKEv2 Cihaz Tüneli etkinken cihaz başına yalnızca bir VPN profili atanabiliyor
• IKEv2 şifreleme ayarları (Phase 2) VPN sunucu yapılandırmasıyla birebir eşleşmeli — ufak bir fark bile bağlantıyı engelliyor
• SSTP-only moduna zorlamak doğrudan Intune'dan yapılamıyor; bu durumda haftalık çalışan bir PowerShell düzeltme betiği düşünebilirsiniz

BT Helpdesk Uzmanları İçin VPN Sorun Giderme Kontrol Listesi

Son kullanıcıdan bir VPN şikâyeti geldiğinde panik yapmayın. Aşağıdaki adımları sırasıyla uygulayın — çoğu sorun ilk birkaç adımda çözülüyor:

1. Temel Ağ Bağlantısını Doğrulayın: İnternet bağlantısı çalışıyor mu? DNS çözümlemesi yapılabiliyor mu? (Kulağa basit geliyor ama inanın, sorunların önemli bir kısmı burada bitiyor.)
2. Windows Güncellemelerini Kontrol Edin: Son yüklenen güncelleme, VPN sorunlarına neden olan bilinen bir güncelleme mi?
3. VPN Sunucu Erişilebilirliğini Test Edin: Test-NetConnection ile sunucu ve ilgili portları kontrol edin
4. VPN Protokolünü Doğrulayın: İstemcide seçilen protokol, sunucunun desteklediği protokolle eşleşiyor mu?
5. Kimlik Bilgilerini Yenileyin: Windows Kimlik Bilgileri Yöneticisi'nden eski VPN kimlik bilgilerini temizleyin
6. Servis Durumlarını Kontrol Edin: IPsec Policy Agent ve IKE/AuthIP servislerinin çalıştığından emin olun
7. WAN Miniport Sürücülerini Sıfırlayın: Aygıt Yöneticisi'nden miniport sürücülerini kaldırıp yeniden yükleyin
8. Olay Günlüklerini İnceleyin: Application günlüğünde RasClient kaynaklı hataları, Security günlüğünde Event ID 4625 ve 4771'i kontrol edin
9. Bağlantıyı Yeniden Oluşturun: Mevcut VPN profilini silip sıfırdan yeni bir profil oluşturun
10. Son Çare — Ağ Yığınını Sıfırlayın: netcfg -d, netsh int ip reset, netsh winsock reset komutlarını sırasıyla çalıştırın ve yeniden başlatın

Hızlı Tanılama Betiği

Aşağıdaki PowerShell betiğini çalıştırarak VPN sorunlarının kök nedenini hızlıca tespit edebilirsiniz. Bu betiği helpdesk ekibinizle paylaşmanızı şiddetle tavsiye ederim:

# VPN Hızlı Tanılama Betiği
Write-Host "=== VPN Tanılama Raporu ===" -ForegroundColor Cyan
Write-Host ""

# 1. VPN Bağlantı Durumu
Write-Host "[1] VPN Bağlantıları:" -ForegroundColor Green
Get-VpnConnection | Format-Table Name, ServerAddress, TunnelType, ConnectionStatus -AutoSize

# 2. IPsec Servis Durumu
Write-Host "[2] IPsec Servisleri:" -ForegroundColor Green
Get-Service -Name "PolicyAgent","IKEEXT","RasMan" | Format-Table Name, Status, StartType -AutoSize

# 3. NAT Kayıt Defteri Ayarı
Write-Host "[3] NAT Geçiş Ayarı:" -ForegroundColor Green
$natReg = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -ErrorAction SilentlyContinue
if ($natReg) {
    Write-Host "  AssumeUDPEncapsulationContextOnSendRule = $($natReg.AssumeUDPEncapsulationContextOnSendRule)" -ForegroundColor White
} else {
    Write-Host "  Ayar bulunamadı (varsayılan: 0 — NAT geçişi devre dışı)" -ForegroundColor Yellow
}

# 4. Son VPN Hataları
Write-Host "`n[4] Son VPN Hata Günlükleri:" -ForegroundColor Green
Get-WinEvent -FilterHashtable @{LogName="Application"; ProviderName="RasClient"; Level=2} -MaxEvents 5 -ErrorAction SilentlyContinue |
    Format-Table TimeCreated, @{N="Mesaj";E={$_.Message.Substring(0, [Math]::Min(120, $_.Message.Length))}} -Wrap

# 5. Son Windows Güncellemeleri
Write-Host "[5] Son 5 Windows Güncellemesi:" -ForegroundColor Green
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5 HotFixID, InstalledOn, Description | Format-Table -AutoSize

Sıkça Sorulan Sorular

Windows 11 güncellemesinden sonra VPN neden bağlanmıyor?

Windows 11 24H2 ve 25H2 güncellemeleri, L2TP/IPsec ve IKEv2 protokollerinde bilinen sorunlara neden olabiliyor. En güncel güvenlik güncellemelerinin yüklü olduğundan emin olun ve KB5037771 ya da sonrası bir düzeltme yamasının kurulu olup olmadığını kontrol edin. Sorun devam ederse VPN bağlantınızı silip yeniden oluşturmayı deneyin.

L2TP hatası 789'u nasıl düzeltirim?

Hata 789, IPsec güvenlik ilişkilendirmesinin kurulamamasından kaynaklanıyor. Öncelikle IPsec Policy Agent ve IKE/AuthIP servislerinin çalıştığından emin olun. NAT arkasındaysanız kayıt defterinde AssumeUDPEncapsulationContextOnSendRule değerini 2 olarak ayarlayın ve bilgisayarı yeniden başlatın. Güvenlik duvarında UDP 500, UDP 4500 ve ESP portlarının açık olduğunu da doğrulayın.

IKEv2 mi yoksa SSTP mi kullanmalıyım?

IKEv2, daha yüksek hız ve MOBIKE desteği sayesinde ağ değişikliklerinde (Wi-Fi'dan mobil veriye geçiş gibi) bağlantıyı otomatik olarak sürdürebildiği için genellikle ilk tercih. Ancak sıkı güvenlik duvarları olan ağlarda SSTP daha mantıklı — TCP 443 (HTTPS) portu üzerinden çalıştığı için engellenmesi neredeyse imkânsız.

Kurumsal ortamda VPN profillerini toplu olarak nasıl dağıtırım?

Microsoft Intune üzerinden VPN cihaz yapılandırma profili oluşturarak IKEv2, L2TP veya SSTP'den birini seçebilir ve tüm yönetilen cihazlara merkezi olarak dağıtabilirsiniz. PowerShell betikleri ve Grup İlkesi de alternatif dağıtım yöntemleri olarak kullanılabilir.

VPN bağlantım sürekli kopuyor, ne yapmalıyım?

Sürekli kopan VPN bağlantıları genellikle DNS önbellek sorunları, güvenlik duvarı zaman aşımı ayarları veya ağ bağdaştırıcı sürücü uyumsuzluklarından kaynaklanıyor. İlk adım olarak DNS önbelleğini temizleyin (ipconfig /flushdns), ardından güvenlik duvarında keep-alive ayarlarını kontrol edin ve ağ bağdaştırıcı sürücülerinizi güncelleyin. IKEv2'nin MOBIKE desteği ağ değişikliklerinde otomatik yeniden bağlanma sağlar, bu yüzden sık kopma sorunu yaşıyorsanız IKEv2'ye geçmeyi düşünebilirsiniz.