VPN не підключається у Windows 11: діагностика та виправлення помилок

Чому VPN перестав працювати після оновлення Windows 11

Якщо ви працюєте в IT-підтримці і одного ранку отримали лавину тікетів із заголовком «VPN не підключається» — вітаю, ви не одні. Оновлення Windows 11 до версії 24H2 (а потім і до 25H2) зламало VPN-підключення у величезній кількості організацій. Серйозно, масштаб проблеми вражає.

Microsoft суттєво переробила мережевий стек, і це зачепило як вбудований VPN-клієнт Windows, так і сторонні рішення на кшталт Cisco та OpenVPN.

Далі ми розберемо конкретні коди помилок, робочі обхідні рішення та PowerShell-скрипти для автоматизації. Все перевірено на реальних кейсах із техпідтримки та актуальних KB-статтях Microsoft станом на березень 2026 року. Отже, поїхали.

Відомі проблеми з VPN у Windows 11 у 2026 році

KB5074109 та WSL Mirrored Networking

Мабуть, найбільший головний біль для корпоративних адмінів у 2025–2026 роках — конфлікт між WSL (Windows Subsystem for Linux) у режимі дзеркального мережевого з'єднання та VPN-клієнтами. Після оновлення KB5067036 (жовтень 2025) віртуальний мережевий інтерфейс VPN-клієнта просто перестав відповідати на ARP-запити. Результат — помилка «No route to host», і ви сидите без VPN.

Які клієнти постраждали:

• Cisco Secure Client (колишній Cisco AnyConnect)
• OpenVPN
• Будь-які інші клієнти з власними віртуальними мережевими адаптерами

Що робити: Найпростіший шлях — встановити оновлення KB5074109 від 13 січня 2026 року, воно саме по собі фіксить проблему. Якщо оновлення з якоїсь причини поставити не можна — вимкніть дзеркальний режим мережі WSL вручну:

# Перевірка поточного режиму мережі WSL
wsl --version

# Вимкнення mirrored networking у конфігурації WSL
# Створіть або відредагуйте файл %USERPROFILE%\.wslconfig:
[wsl2]
networkingMode=NAT

L2TP/IPSec після оновлення до 24H2 та 25H2

Ця проблема живе довше, ніж хотілось би. Навіть у лютому 2026 року користувачі Windows 11 Enterprise 25H2 масово скаржаться на збій L2TP-підключення. Типове повідомлення про помилку:

«The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.»

Проблема криється у змінах обробки IPSec-пакетів та конфлікті з NAT. Детальне виправлення — у розділі про помилку 789 нижче.

Вбудований VPN-клієнт не зберігає облікові дані

Ще один неприємний сюрприз після оновлення з 23H2 до 24H2: вбудований VPN Windows раптом «забуває» логін і пароль. А при спробі зайти в додаткові властивості — отримуєте «Непередбачену помилку». Чесно кажучи, цей баг дратує найбільше, бо виглядає як дрібниця, а на ділі паралізує роботу. У деяких випадках рятує тільки створення нового VPN-профілю з нуля.

Помилка 789: збій L2TP-підключення через IPSec

Помилка 789 — справжній «хіт сезону» серед VPN-проблем у корпоративних мережах. Вона означає, що Windows не змогла побудувати IPSec-тунель із VPN-сервером. Звучить страшно, але виправляється (зазвичай) досить просто.

Основні причини

• Відсутність NAT Traversal: клієнт або сервер знаходиться за NAT, а UDP Encapsulation не налаштовано
• Відсутні ключі реєстру: без параметра AssumeUDPEncapsulationContextOnSendRule L2TP через NAT просто не працює
• Заблоковані порти: фаєрвол блокує UDP 500, UDP 4500 або ESP (IP Protocol 50)
• Конфлікт мережевого адаптера: WAN Miniport «завис» у невизначеному стані після оновлення

Виправлення через реєстр

Це перше, що варто спробувати — і в більшості випадків цього достатньо. Потрібно додати параметр реєстру, який дозволяє UDP-інкапсуляцію через NAT:

:: Відкрийте командний рядок від імені адміністратора
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent" /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2 /f

:: Перезавантажте комп'ютер
shutdown /r /t 0

Що означають значення параметра:

• 0 — підключення тільки без NAT (стоїть за замовчуванням, і саме це зазвичай є проблемою)
• 1 — підключення, коли VPN-сервер за NAT
• 2 — підключення, коли і клієнт, і сервер за NAT (ставте саме це значення — воно покриває всі сценарії)

Автоматизація через PowerShell

Якщо вам треба виправити це на десятках машин, ось готовий скрипт:

# Виправлення помилки 789 — налаштування NAT Traversal для L2TP
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent"
$regName = "AssumeUDPEncapsulationContextOnSendRule"

$current = Get-ItemProperty -Path $regPath -Name $regName -ErrorAction SilentlyContinue

if ($null -eq $current -or $current.$regName -ne 2) {
    Set-ItemProperty -Path $regPath -Name $regName -Value 2 -Type DWord -Force
    Write-Host "NAT Traversal налаштовано. Потрібне перезавантаження." -ForegroundColor Green
} else {
    Write-Host "NAT Traversal вже налаштовано коректно." -ForegroundColor Yellow
}

# Перевірка необхідних портів у Windows Firewall
$rules = Get-NetFirewallRule | Where-Object {
    $_.DisplayName -match "L2TP|IKE|IPSec|500|4500"
} | Get-NetFirewallPortFilter

Write-Host "`nПравила фаєрвола для L2TP/IPSec:" -ForegroundColor Cyan
$rules | Format-Table Protocol, LocalPort, RemotePort -AutoSize

Помилка 809: VPN-сервер недоступний

Помилка 809 каже: «Я не можу достукатися до VPN-сервера». Як правило, щось блокує потрібні порти — фаєрвол, маршрутизатор, або (іноді) навіть провайдер.

Необхідні порти для різних протоколів

Ось що має бути відкрито залежно від протоколу:

• PPTP: TCP 1723 + GRE Protocol (IP 47)
• L2TP/IPSec: UDP 500, UDP 1701, UDP 4500
• IKEv2: UDP 500, UDP 4500
• SSTP: TCP 443

Діагностика блокування портів

# Перевірка доступності VPN-сервера та необхідних портів
$vpnServer = "vpn.example.com"

# Перевірка TCP-з'єднання (для SSTP/PPTP)
Test-NetConnection -ComputerName $vpnServer -Port 443 -InformationLevel Detailed

# Перевірка UDP-портів (для L2TP/IKEv2)
$udpPorts = @(500, 4500, 1701)
foreach ($port in $udpPorts) {
    $result = Test-NetConnection -ComputerName $vpnServer -Port $port -WarningAction SilentlyContinue
    Write-Host "Порт UDP/$port`: $($result.TcpTestSucceeded)" -ForegroundColor $(
        if ($result.TcpTestSucceeded) { "Green" } else { "Red" }
    )
}

# Перевірка маршруту до VPN-сервера
Test-NetConnection -ComputerName $vpnServer -TraceRoute

Вимкнення Xbox Live Networking Service

Ось це мій улюблений «лайфхак», про який мало хто знає. Служба Xbox Live Networking може конфліктувати з L2TP/IPSec VPN. Так, саме Xbox. На корпоративній машині. Якщо всі інші методи не спрацювали — спробуйте вимкнути її:

# Зупинка та вимкнення Xbox Live Networking
Stop-Service -Name XblGameSave -Force -ErrorAction SilentlyContinue
Set-Service -Name XblGameSave -StartupType Disabled

Stop-Service -Name XboxNetApiSvc -Force -ErrorAction SilentlyContinue
Set-Service -Name XboxNetApiSvc -StartupType Disabled

Write-Host "Служби Xbox вимкнено. Спробуйте підключити VPN." -ForegroundColor Green

Помилка 720: проблема з WAN Miniport

Помилка 720 — це коли мережеві WAN Miniport адаптери пішли в рознос. Після оновлення Windows ці віртуальні адаптери іноді «зависають» у невизначеному стані, і VPN просто відмовляється підключатися.

Діагностика WAN Miniport через PowerShell

# Пошук WAN Miniport адаптерів та перевірка їхнього стану
$wanAdapters = Get-NetAdapter -IncludeHidden | Where-Object {
    $_.InterfaceDescription -match "WAN Miniport"
}

Write-Host "Знайдені WAN Miniport адаптери:" -ForegroundColor Cyan
$wanAdapters | Format-Table Name, InterfaceDescription, Status, MediaConnectionState -AutoSize

# Перевірка прив'язок для кожного адаптера
foreach ($adapter in $wanAdapters) {
    Write-Host "`nПрив'язки для $($adapter.InterfaceDescription):" -ForegroundColor Yellow
    Get-NetAdapterBinding -Name $adapter.Name -IncludeHidden -AllBindings |
        Format-Table ComponentID, DisplayName, Enabled -AutoSize
}

Перевстановлення WAN Miniport через Диспетчер пристроїв

Цей метод виглядає радикально, але працює безвідмовно:

1. Натисніть Win + X → Диспетчер пристроїв
2. Розгорніть Мережеві адаптери
3. Знайдіть усі WAN Miniport (IP, IPv6, PPTP, L2TP, IKEv2)
4. Клацніть правою кнопкою на кожному → Видалити пристрій
5. У меню Дія → Пошук змін обладнання — Windows сама перевстановить усе
6. Перезавантажтесь і спробуйте підключити VPN

Комплексний скрипт діагностики VPN

А тепер — те, заради чого, можливо, ви і прийшли сюди. Ось скрипт, що виконує повну перевірку всіх компонентів VPN у Windows 11 за один запуск. Збережіть його як Diagnose-VPN.ps1 і запустіть від імені адміністратора:

# Diagnose-VPN.ps1 — Комплексна діагностика VPN у Windows 11
# Запускати від імені адміністратора

param(
    [string]$VPNServer = ""
)

Write-Host "=== Діагностика VPN для Windows 11 ===" -ForegroundColor Cyan
Write-Host "Дата: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')" -ForegroundColor Gray
Write-Host ""

# 1. Версія Windows
$os = Get-CimInstance Win32_OperatingSystem
Write-Host "[1] Версія ОС: $($os.Caption) Build $($os.BuildNumber)" -ForegroundColor White

# 2. Перевірка служб VPN
Write-Host "`n[2] Стан служб VPN:" -ForegroundColor White
$services = @("RasMan", "IKEEXT", "PolicyAgent", "Rasman", "RemoteAccess")
foreach ($svc in $services) {
    $s = Get-Service -Name $svc -ErrorAction SilentlyContinue
    if ($s) {
        $color = if ($s.Status -eq "Running") { "Green" } else { "Red" }
        Write-Host "  $($s.DisplayName): $($s.Status)" -ForegroundColor $color
    }
}

# 3. Перевірка NAT Traversal
Write-Host "`n[3] NAT Traversal (AssumeUDPEncapsulationContextOnSendRule):" -ForegroundColor White
$natReg = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent" `
    -Name "AssumeUDPEncapsulationContextOnSendRule" -ErrorAction SilentlyContinue
if ($natReg) {
    Write-Host "  Значення: $($natReg.AssumeUDPEncapsulationContextOnSendRule)" -ForegroundColor Green
} else {
    Write-Host "  НЕ НАЛАШТОВАНО — L2TP через NAT не працюватиме!" -ForegroundColor Red
}

# 4. WAN Miniport адаптери
Write-Host "`n[4] WAN Miniport адаптери:" -ForegroundColor White
Get-NetAdapter -IncludeHidden | Where-Object {
    $_.InterfaceDescription -match "WAN Miniport"
} | ForEach-Object {
    $color = if ($_.Status -eq "Up" -or $_.Status -eq "Disconnected") { "Green" } else { "Yellow" }
    Write-Host "  $($_.InterfaceDescription): $($_.Status)" -ForegroundColor $color
}

# 5. Існуючі VPN-профілі
Write-Host "`n[5] Налаштовані VPN-підключення:" -ForegroundColor White
$vpnConnections = Get-VpnConnection -ErrorAction SilentlyContinue
if ($vpnConnections) {
    $vpnConnections | ForEach-Object {
        Write-Host "  Назва: $($_.Name)" -ForegroundColor White
        Write-Host "    Сервер: $($_.ServerAddress)" -ForegroundColor Gray
        Write-Host "    Протокол: $($_.TunnelType)" -ForegroundColor Gray
        Write-Host "    Статус: $($_.ConnectionStatus)" -ForegroundColor Gray
    }
} else {
    Write-Host "  VPN-підключення не знайдено" -ForegroundColor Yellow
}

# 6. Перевірка фаєрвола
Write-Host "`n[6] Правила фаєрвола для VPN-портів:" -ForegroundColor White
$vpnRules = Get-NetFirewallRule -Enabled True | Where-Object {
    $_.DisplayName -match "VPN|L2TP|IKE|IPSec|PPTP|SSTP"
}
if ($vpnRules) {
    $vpnRules | ForEach-Object {
        Write-Host "  $($_.DisplayName) — $($_.Action)" -ForegroundColor Green
    }
} else {
    Write-Host "  Спеціальних правил для VPN не знайдено" -ForegroundColor Yellow
}

# 7. Підключення до сервера (якщо вказано)
if ($VPNServer) {
    Write-Host "`n[7] Тест підключення до $VPNServer`:" -ForegroundColor White
    $ping = Test-NetConnection -ComputerName $VPNServer -WarningAction SilentlyContinue
    Write-Host "  Ping: $($ping.PingSucceeded)" -ForegroundColor $(if ($ping.PingSucceeded) {"Green"} else {"Red"})

    foreach ($port in @(443, 500, 4500, 1723)) {
        $test = Test-NetConnection -ComputerName $VPNServer -Port $port -WarningAction SilentlyContinue
        $color = if ($test.TcpTestSucceeded) { "Green" } else { "Red" }
        Write-Host "  Порт ${port}: $($test.TcpTestSucceeded)" -ForegroundColor $color
    }
}

Write-Host "`n=== Діагностика завершена ===" -ForegroundColor Cyan

Скидання мережевого стека Windows 11

Якщо нічого з описаного вище не допомогло — час для «важкої артилерії». Повне скидання мережевого стека. Операція безпечна, але майте на увазі: після неї доведеться заново вводити паролі Wi-Fi та перенастроювати деякі мережеві підключення.

Через командний рядок

:: Запустіть від імені адміністратора
ipconfig /release
ipconfig /flushdns
ipconfig /renew
netsh winsock reset
netsh int ip reset
netsh int ipv4 reset
netsh int ipv6 reset

:: Перезавантаження
shutdown /r /t 0

Через інтерфейс Windows 11

Для тих, хто не хоче возитися з командним рядком:

1. Відкрийте Параметри → Мережа та Інтернет
2. Прокрутіть вниз до Додаткові параметри мережі
3. Натисніть Скидання мережі
4. Підтвердіть дію і перезавантажте комп'ютер

Налаштування Always On VPN для корпоративних середовищ

Always On VPN — це відповідь Microsoft на потребу в постійному VPN-з'єднанні. По суті, це заміна DirectAccess, і працює воно на Windows 10 та Windows 11 редакцій Professional і Enterprise.

Два типи тунелів

Тут важливо розуміти різницю:

• Device Tunnel — з'єднується з VPN-сервером ще до входу користувача в систему. Потрібна Windows 11 Enterprise та доменне приєднання. Корисно для управління пристроєм та попереднього доступу до ресурсів.
• User Tunnel — підключається вже після авторизації. Працює на будь-якій редакції Windows, підтримує і доменні, і BYOD-пристрої. Для більшості організацій саме цей варіант — основний.

Створення VPN-профілю через PowerShell

# Створення IKEv2 VPN-підключення з розділеним тунелюванням
$vpnName = "Corporate-VPN"
$vpnServer = "vpn.company.com"

# Видалення старого профілю (якщо існує)
Remove-VpnConnection -Name $vpnName -Force -ErrorAction SilentlyContinue

# Створення нового VPN-з'єднання
Add-VpnConnection -Name $vpnName `
    -ServerAddress $vpnServer `
    -TunnelType IKEv2 `
    -AuthenticationMethod EAP `
    -EncryptionLevel Required `
    -SplitTunneling `
    -RememberCredential

# Додавання маршрутів для корпоративної мережі
Add-VpnConnectionRoute -ConnectionName $vpnName -DestinationPrefix "10.0.0.0/8"
Add-VpnConnectionRoute -ConnectionName $vpnName -DestinationPrefix "172.16.0.0/12"
Add-VpnConnectionRoute -ConnectionName $vpnName -DestinationPrefix "192.168.0.0/16"

Write-Host "VPN-профіль '$vpnName' створено." -ForegroundColor Green
Get-VpnConnection -Name $vpnName | Format-List Name, ServerAddress, TunnelType, SplitTunneling

Проблема: профіль зникає після синхронізації MDM

Класична ситуація з Intune: розгорнули Always On VPN, а профіль «живе своїм життям» — зникає і з'являється при кожній синхронізації MDM. З мого досвіду, причина майже завжди у зайвих маршрутах у ProfileXML. Спробуйте прибрати непотрібні маршрути і перевірити, чи стабілізується ситуація.

Вибір протоколу VPN: порівняльна таблиця

Не всі VPN-протоколи однакові — і вибір правильного може позбавити вас від купи проблем. Ось коротке порівняння:

Протокол	Безпека	Швидкість	Сумісність з NAT	Рекомендація
PPTP	Низька	Висока	Добра	Не використовувати — вразливий
L2TP/IPSec	Середня	Середня	Потребує NAT-T	Тільки для legacy-систем
SSTP	Висока	Середня	Відмінна	Добре працює через фаєрволи
IKEv2	Висока	Висока	Добра	Рекомендовано для Windows 11
WireGuard	Висока	Дуже висока	Відмінна	Найкращий вибір (потрібен сторонній клієнт)

Моя порада: якщо маєте можливість обирати — переходьте на IKEv2 або WireGuard. PPTP давно пора забути (він реально небезпечний), а L2TP/IPSec створює найбільше проблем із сумісністю після кожного оновлення Windows. Якби мені довелося обирати один протокол на всі випадки — це був би IKEv2.

Поширені запитання (FAQ)

Чому VPN відключається після сну або гібернації Windows 11?

Windows 11 за замовчуванням розриває мережеві з'єднання при переході в сплячий режим — для економії енергії. Щоб це виправити, зайдіть у Диспетчер пристроїв, знайдіть ваш мережевий адаптер, відкрийте Властивості → вкладка Управління живленням і зніміть прапорець «Дозволити вимикати цей пристрій для економії енергії». Для Always On VPN підключення повинно відновлюватися автоматично (якщо все налаштовано правильно).

Як перевірити, чи мій провайдер блокує VPN?

Найпростіший спосіб: підключіть ноутбук до мобільного хотспоту і спробуйте VPN через нього. Працює через мобільний інтернет, а через домашню мережу — ні? Тоді проблема в роутері або провайдері. Перевірте, чи увімкнено IPSec Passthrough у налаштуваннях роутера.

Який VPN-протокол обрати для Windows 11 у 2026 році?

Коротка відповідь: IKEv2. Він нативно підтримується Windows 11, швидко перепідключається після розриву і нормально працює через NAT. Якщо потрібно обійти жорсткі фаєрволи — беріть SSTP (працює через TCP 443, як звичайний HTTPS-трафік). А для максимальної швидкості варто розглянути WireGuard через сторонній клієнт.

Чи можна одночасно використовувати два VPN у Windows 11?

Технічно — так, але це не так просто, як здається. Обидва з'єднання мають використовувати розділене тунелювання (Split Tunneling) з різними діапазонами адрес. Якщо обидва VPN налаштовані як повний тунель — працюватиме тільки останнє підключення, а перше тихо «відвалиться».

Що робити, якщо VPN повністю перестав працювати після оновлення?

Діяти послідовно: (1) перезапустіть служби RasMan та IKEEXT через services.msc, (2) перевстановіть WAN Miniport адаптери через Диспетчер пристроїв, (3) скиньте мережевий стек командами netsh winsock reset та netsh int ip reset, (4) створіть новий VPN-профіль замість старого. Якщо і це не допомагає — встановіть найсвіжіше кумулятивне оновлення Windows або пошукайте KB-статтю Microsoft саме для вашої збірки.