IKEv2-VPN unter Windows 10 und 11 einrichten: Schritt-für-Schritt-Anleitung für eine sichere Verbindung. So konfigurieren Sie Server, Authentifizierung und Einstellungen richtig.
IKEv2 ist das schnellste und stabilste VPN-Protokoll, das Windows 10 und Windows 11 nativ unterstützen. Sie müssen dafür keine Drittanbieter-Software installieren.
Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie eine IKEv2-VPN-Verbindung korrekt einrichten, absichern und Fehler beheben – inklusive GUI-Methode, PowerShell-Konfiguration und Zertifikatsverwaltung.
Was ist IKEv2 und warum ist es die richtige Wahl?
IKEv2 steht für „Internet Key Exchange Version 2″ und ist ein IPsec-basiertes Tunnelprotokoll. Ursprünglich wurde es gemeinsam von Microsoft und Cisco entwickelt. Deshalb ist es tief in das Betriebssystem Windows integriert – sowohl in Windows 10 als auch in Windows 11.
Im Vergleich zu älteren Protokollen wie PPTP oder L2TP/IPsec bietet IKEv2 erhebliche Vorteile. Erstens unterstützt es MOBIKE (Mobility and Multihoming Protocol), wodurch die Verbindung beim Wechsel zwischen WLAN und Mobilfunk automatisch bestehen bleibt. Zweitens baut IKEv2 die Verbindung nach einem Netzwerkabbruch deutlich schneller wieder auf. Drittens verwendet es moderne Verschlüsselungsalgorithmen wie AES-256 und unterstützt Perfect Forward Secrecy (PFS).
Zudem gilt IKEv2 als weniger anfällig für Man-in-the-Middle-Angriffe als ältere Protokolle. Darüber hinaus ist es das einzige Protokoll, das Microsoft offiziell als „VPN Connect“ bezeichnet – ein deutliches Zeichen für die hohe Priorität, die dem Standard eingeräumt wird.
Allerdings hat IKEv2 auch eine kleine Schwäche: Es verwendet standardmäßig UDP-Port 500 und 4500, die manche restriktive Firewalls blockieren. In solchen Fällen kann SSTP die bessere Alternative sein. Für die meisten Heimanwender und Unternehmensumgebungen ist IKEv2 jedoch die empfohlene Wahl.
Voraussetzungen für die IKEv2-Einrichtung unter Windows 10/11
Bevor Sie mit der Einrichtung beginnen, sollten Sie folgende Informationen bereithalten:
- Serveradresse: Die IP-Adresse oder der Domänenname des VPN-Servers (z. B.
vpn.meinunternehmen.de) - Authentifizierungsmethode: Benutzername/Passwort (EAP-MSCHAPv2) oder Zertifikat
- CA-Zertifikat: Falls der VPN-Anbieter kein öffentlich vertrauenswürdiges Zertifikat verwendet, benötigen Sie das Stammzertifikat der Zertifizierungsstelle
- Zugangsdaten: Benutzername und Passwort, die Ihr VPN-Anbieter oder Ihre IT-Abteilung bereitgestellt hat
Außerdem benötigen Sie Administratorrechte auf dem Windows-Gerät, da Sie für die Zertifikatsinstallation und einige PowerShell-Befehle erhöhte Berechtigungen brauchen.
Zusätzlich sollten Sie sicherstellen, dass Windows vollständig aktualisiert ist. Veraltete Netzwerktreiber oder fehlende Windows-Updates können die IKEv2-Verbindung beeinträchtigen und zu schwer nachvollziehbaren Fehlermeldungen führen.
Methode 1: IKEv2-VPN über die Windows-Einstellungen einrichten (GUI)
Die einfachste Methode für Einsteiger ist die Einrichtung über die grafische Benutzeroberfläche. Diese funktioniert sowohl unter Windows 10 als auch unter Windows 11 nahezu identisch.
Schritt 1 – Einstellungen öffnen
Drücken Sie Windows-Taste + I, um die Einstellungen zu öffnen. Navigieren Sie dann zu „Netzwerk und Internet“. Wählen Sie dort den Abschnitt „VPN“ aus.
Schritt 2 – Neue VPN-Verbindung hinzufügen
Klicken Sie auf „VPN-Verbindung hinzufügen“ (Windows 10) bzw. auf „VPN hinzufügen“ (Windows 11). Daraufhin öffnet sich ein Eingabedialog.
Füllen Sie die Felder wie folgt aus:
- VPN-Anbieter: Wählen Sie „Windows (integriert)“
- Verbindungsname: Vergeben Sie einen aussagekräftigen Namen, z. B. „Firma VPN“ oder „HomeOffice IKEv2″
- Servername oder Adresse: Tragen Sie die Serveradresse ein, z. B.
vpn.beispiel.de - VPN-Typ: Wählen Sie „IKEv2″
- Anmeldeinformationstyp: Wählen Sie „Benutzername und Kennwort“
- Benutzername und Kennwort: Tragen Sie Ihre Zugangsdaten ein
Aktivieren Sie anschließend das Kontrollkästchen „Anmeldeinformationen speichern“, damit Sie die Daten nicht bei jeder Verbindung erneut eingeben müssen. Klicken Sie danach auf „Speichern“.
Schritt 3 – Erweiterte Sicherheitseinstellungen anpassen (Windows 10)
Unter Windows 10 müssen Sie nach dem Speichern noch die Sicherheitseinstellungen anpassen, da die GUI standardmäßig nicht alle Parameter korrekt setzt. Öffnen Sie dazu die „Netzwerk- und Freigabecenter“ über das Suchfeld in der Taskleiste. Klicken Sie dort auf „Adaptereinstellungen ändern“. Klicken Sie mit der rechten Maustaste auf Ihre neue VPN-Verbindung und wählen Sie „Eigenschaften“.
Wechseln Sie zum Reiter „Sicherheit“ und nehmen Sie folgende Einstellungen vor:
- VPN-Typ: IKEv2
- Datenverschlüsselung: „Verschlüsselung erforderlich (Verbindung trennen, falls Server dies ablehnt)“
- Authentifizierung: Aktivieren Sie „Extensible Authentication Protocol (EAP)“
- EAP-Typ: Wählen Sie „Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)“
Bestätigen Sie alle Änderungen mit „OK“. Unter Windows 11 sind diese Einstellungen ebenfalls über das klassische Netzwerk- und Freigabecenter zugänglich, alternativ jedoch auch über die modernen Einstellungen.
Schritt 4 – VPN-Verbindung herstellen
Klicken Sie nun in den Einstellungen unter „VPN“ auf den Namen Ihrer neu erstellten Verbindung. Wählen Sie „Verbinden“. Alternativ können Sie auch Windows-Taste + A drücken, um das Schnelleinstellungsmenü zu öffnen, und dort auf die VPN-Schaltfläche tippen.
Methode 2: IKEv2-VPN per PowerShell einrichten (empfohlen für fortgeschrittene Nutzer)
Die PowerShell-Methode ist für Unternehmensumgebungen und technisch versierte Nutzer klar zu bevorzugen. Denn damit lassen sich alle Parameter präzise steuern – insbesondere die Verschlüsselungssuites für Phase 1 und Phase 2, die über die GUI nicht zugänglich sind.
Verbindung anlegen
Öffnen Sie PowerShell als Administrator. Klicken Sie dazu mit der rechten Maustaste auf das Startmenü und wählen Sie „Windows PowerShell (Administrator)“ bzw. „Terminal (Administrator)“ unter Windows 11.
Führen Sie zunächst folgenden Befehl aus, um die Grundverbindung anzulegen:
Add-VpnConnection `
-Name "MeinIKEv2-VPN" `
-ServerAddress "vpn.beispiel.de" `
-TunnelType IKEv2 `
-EncryptionLevel Required `
-AuthenticationMethod EAP `
-RememberCredential $true `
-PassThruZusätzlich sollten Sie die IPsec-Verschlüsselungsparameter manuell auf moderne Algorithmen setzen, da die Windows-Standardwerte manchmal nicht den Anforderungen des Servers entsprechen:
Set-VpnConnectionIPsecConfiguration `
-ConnectionName "MeinIKEv2-VPN" `
-AuthenticationTransformConstants GCMAES256 `
-CipherTransformConstants GCMAES256 `
-EncryptionMethod AES256 `
-IntegrityCheckMethod SHA256 `
-DHGroup Group14 `
-PfsGroup PFS2048 `
-PassThruDieser Befehl konfiguriert die Verbindung mit AES-256-GCM-Verschlüsselung, SHA-256-Integritycheck, Diffie-Hellman-Gruppe 14 und Perfect Forward Secrecy. Das entspricht dem heutigen Sicherheitsstandard und wird von den meisten modernen VPN-Servern unterstützt.
Außerdem können Sie mit folgendem Befehl überprüfen, ob die Verbindung korrekt angelegt wurde:
Get-VpnConnection -Name "MeinIKEv2-VPN"Zertifikate für IKEv2 installieren
IKEv2 erfordert, dass der VPN-Client dem Server vertraut. Verwendet der VPN-Server ein Zertifikat einer öffentlich bekannten Zertifizierungsstelle (wie DigiCert, Let’s Encrypt oder GlobalSign), vertraut Windows dem Zertifikat automatisch – Sie müssen in diesem Fall nichts weiter tun.
Verwendet der Server jedoch ein selbstsigniertes Zertifikat oder ein Unternehmens-CA-Zertifikat, müssen Sie das Stammzertifikat manuell installieren. Andernfalls wird die Verbindung mit einem Zertifikatsfehler abgelehnt.
CA-Zertifikat im richtigen Speicher installieren
Öffnen Sie dazu die Zertifikatverwaltung über folgende Schritte:
- Drücken Sie Windows-Taste + R, tippen Sie
certlm.mscund bestätigen Sie mit Enter. Dadurch öffnet sich der Zertifikatspeicher für den lokalen Computer – dieser ist für IKEv2-VPNs auf Computerebene zwingend erforderlich. - Navigieren Sie zu „Vertrauenswürdige Stammzertifizierungsstellen“ → „Zertifikate“.
- Klicken Sie mit der rechten Maustaste auf „Zertifikate“ und wählen Sie „Alle Aufgaben“ → „Importieren“.
- Folgen Sie dem Importassistenten und wählen Sie die
.cer– oder.pem-Datei Ihres CA-Zertifikats aus. - Stellen Sie sicher, dass als Zertifikatspeicher „Vertrauenswürdige Stammzertifizierungsstellen“ ausgewählt ist.
- Klicken Sie auf „Fertig stellen“.
Wichtig: Das Zertifikat muss zwingend im Speicher des lokalen Computers und nicht im Speicher des aktuellen Benutzers liegen. Andernfalls schlägt die IKEv2-Authentifizierung fehl.
Nach dem Import können Sie die Verbindung erneut versuchen. Zudem empfiehlt es sich, das System nach dem Zertifikatsimport einmal neu zu starten, um sicherzustellen, dass Windows das neue Zertifikat vollständig erkennt.
IKEv2 ohne Drittanbieter-Software vs. mit VPN-Client
Viele kommerzielle VPN-Anbieter – darunter zum Beispiel NordVPN, ExpressVPN, Mullvad oder ProtonVPN – bieten eigene Windows-Clients an. Diese Clients vereinfachen die Einrichtung erheblich, da sie Zertifikate und Serverkonfigurationen automatisch verwalten.
Trotzdem gibt es gute Gründe, den Windows-integrierten IKEv2-Client zu bevorzugen:
- Keine zusätzliche Software notwendig: Dadurch verringert sich die Angriffsfläche des Systems erheblich.
- Bessere Integration: VPN-Profile lassen sich über Gruppenrichtlinien oder Intune verteilen.
- Stabilität: Da kein Hintergrundprozess eines Drittanbieters läuft, gibt es weniger Konflikte mit anderen Programmen.
- Unternehmenstauglichkeit: Besonders in Firmenumgebungen ist der native Client die überlegene Wahl.
Andererseits bieten proprietäre Clients oft zusätzliche Funktionen wie Kill Switch, Split Tunneling oder automatische Serverauswahl. Daher sollten Sie abwägen, welche Anforderungen in Ihrem Fall überwiegen.
IKEv2-VPN unter Windows 10 einrichten – Besonderheiten
Windows 10 und Windows 11 verhalten sich bei der IKEv2-Einrichtung sehr ähnlich, jedoch gibt es einige Unterschiede zu beachten.
Unter Windows 10 (ab Version 1607) ist die EAP-MSCHAPv2-Konfiguration über die Einstellungs-App nicht vollständig funktionsfähig. Deshalb müssen Sie die Sicherheitseinstellungen immer über das klassische Eigenschaftenfenster der Netzwerkadapter vornehmen oder die PowerShell verwenden.
Zusätzlich sollten Sie unter Windows 10 sicherstellen, dass der „IKE and AuthIP IPsec Keying Modules“-Dienst läuft. Öffnen Sie dazu die Dienste-Verwaltung mit Windows-Taste + R und dem Befehl services.msc. Suchen Sie den Dienst „IKE and AuthIP IPsec Keying Modules“ und stellen Sie sicher, dass er auf „Automatisch“ eingestellt und aktiv ist. Ebenso muss der Dienst „IPsec Policy Agent“ laufen.
Außerdem kann es unter Windows 10 vorkommen, dass der Registrierungsschlüssel für AssumeUDPEncapsulationContextOnSendRule fehlt. Dieser Schlüssel ist notwendig, wenn sich der Windows-Client hinter einem NAT-Router befindet. Tragen Sie ihn gegebenenfalls über den Registrierungseditor (regedit) unter folgendem Pfad mit dem Wert 2 nach:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Erstellen Sie dort einen neuen DWORD-Wert (32-Bit) mit dem Namen AssumeUDPEncapsulationContextOnSendRule und setzen Sie ihn auf 2. Starten Sie danach Windows neu.
IKEv2-VPN unter Windows 11 einrichten – Besonderheiten
Windows 11 hat die VPN-Verwaltungsoberfläche deutlich modernisiert. Dennoch bietet auch die neuere Version nicht alle Konfigurationsoptionen direkt in der Einstellungs-App an.
Unter Windows 11 finden Sie die VPN-Einstellungen unter Einstellungen → Netzwerk und Internet → VPN. Die Benutzeroberfläche ist übersichtlicher gestaltet, jedoch gelten dieselben Einschränkungen für die EAP-Konfiguration wie unter Windows 10.
Zudem unterstützt Windows 11 ab Version 22H2 verbesserte Protokolloptionen und hat die Stabilität der MOBIKE-Implementierung weiter verbessert. Daher ist es ratsam, Windows 11 stets auf dem neuesten Stand zu halten.
Für Unternehmensumgebungen bietet Windows 11 außerdem verbesserte Always-On-VPN-Unterstützung, bei der die VPN-Verbindung automatisch beim Systemstart aufgebaut wird – allerdings erfordert das eine weitergehende Konfiguration über Gruppenrichtlinien oder Microsoft Intune.
Split Tunneling bei IKEv2 konfigurieren
Standardmäßig leitet Windows bei einer aktiven VPN-Verbindung den gesamten Internetverkehr durch den VPN-Tunnel. Das nennt sich „Force Tunneling“ und bietet maximale Sicherheit, kann jedoch die Internetgeschwindigkeit deutlich reduzieren.
Alternativ können Sie Split Tunneling aktivieren. Dabei wird nur der Datenverkehr in das entfernte Netzwerk durch den Tunnel geleitet, während normaler Internetverkehr direkt über die lokale Verbindung läuft.
Per PowerShell aktivieren Sie Split Tunneling wie folgt:
Set-VpnConnection -Name "MeinIKEv2-VPN" -SplitTunneling $trueUnd zum Deaktivieren:
Set-VpnConnection -Name "MeinIKEv2-VPN" -SplitTunneling $falseBedenken Sie jedoch: Split Tunneling kann die Datenschutzziele einer VPN-Verbindung verwässern, da nicht aller Verkehr verschlüsselt wird. Deshalb sollten Sie es bewusst und nur dann einsetzen, wenn die Bandbreite ein echtes Problem darstellt.
Häufige Fehler und wie Sie sie beheben
Trotz korrekter Einrichtung kommt es gelegentlich zu Verbindungsproblemen. Im Folgenden finden Sie die häufigsten Fehlerursachen sowie die empfohlenen Vorgehensweisen zur Lösung.
Fehler 809 – Keine Antwort vom VPN-Server
Dieser Fehler tritt auf, wenn UDP-Port 500 oder 4500 von einer Firewall blockiert wird. Überprüfen Sie zunächst, ob die Ports in der Windows-Firewall und der Router-Firewall freigegeben sind. Zudem deutet Fehler 809 oft auf das fehlende AssumeUDPEncapsulationContextOnSendRule-Registry-Flag hin (siehe oben). Setzen Sie den Wert auf 2 und starten Sie das System neu.
Fehler 13801 – Zertifikat nicht vertrauenswürdig
Dieser Fehler bedeutet, dass Windows dem Serverzertifikat nicht vertraut. Überprüfen Sie deshalb, ob das CA-Stammzertifikat korrekt im Zertifikatspeicher des lokalen Computers unter „Vertrauenswürdige Stammzertifizierungsstellen“ installiert ist. Außerdem sollten Sie prüfen, ob Datum und Uhrzeit auf dem Windows-Gerät korrekt eingestellt sind, da Zertifikate zeitabhängig validiert werden.
Fehler 691 – Anmeldeinformationen falsch
Fehler 691 weist auf falsche Zugangsdaten hin. Prüfen Sie Benutzername und Passwort sorgfältig. Beachten Sie, dass bei manchen VPN-Systemen der Benutzername im Format DOMAIN\Benutzer oder benutzer@domain.de angegeben werden muss.
Fehler 789 – L2TP/IKEv2-Verbindung fehlgeschlagen
Dieser Fehler tritt häufig auf, wenn die Verschlüsselungsparameter nicht übereinstimmen. Überprüfen Sie deshalb die Phase-1- und Phase-2-Einstellungen sowohl auf dem Client als auch auf dem Server. Außerdem kann ein Neustart des Dienstes „IKE and AuthIP IPsec Keying Modules“ helfen.
Verbindung trennt sich häufig
Wenn die Verbindung regelmäßig abbricht, liegt das oft an einem instabilen WLAN oder einem Timeout des Servers. Aktivieren Sie in diesem Fall die DPD-Einstellung (Dead Peer Detection) auf dem Server und prüfen Sie außerdem, ob Ihr Router NAT-Traversal (NAT-T) unterstützt und aktiviert hat.
DNS-Leak-Test nach der VPN-Einrichtung
Nach erfolgreicher Einrichtung sollten Sie unbedingt überprüfen, ob Ihre DNS-Anfragen tatsächlich über den VPN-Tunnel laufen. Öffnen Sie dazu die Website dnsleaktest.com oder ipleak.net in Ihrem Browser. Werden dort die DNS-Server Ihres VPN-Anbieters angezeigt, ist alles korrekt konfiguriert. Erscheinen hingegen die DNS-Server Ihres Internetproviders, liegt ein DNS-Leak vor.
Um DNS-Leaks unter Windows zu vermeiden, empfiehlt es sich, die VPN-Verbindungseigenschaften zu öffnen und unter „Netzwerk“ die IPv4- und IPv6-Einstellungen so zu konfigurieren, dass der DNS-Server des VPN-Netzwerks verwendet wird. Unter Windows 11 können Sie außerdem die Funktion DNS over HTTPS (DoH) aktivieren, um zusätzliche Sicherheit zu gewährleisten.
IKEv2-VPN automatisch starten und per Skript verwalten
Für Nutzer, die die VPN-Verbindung regelmäßig verwenden, ist eine Automatisierung sehr praktisch. Per PowerShell oder Batch-Datei können Sie die Verbindung mit einem einzigen Doppelklick herstellen oder trennen.
Verbindung herstellen:
rasdial "MeinIKEv2-VPN" BenutzernameHier PasswortHierVerbindung trennen:
rasdial "MeinIKEv2-VPN" /disconnectAußerdem können Sie diese Befehle in Batch-Dateien (.bat) speichern und als Verknüpfungen auf dem Desktop ablegen. Das ist besonders nützlich, wenn Sie gleichzeitig Netzlaufwerke verbinden oder trennen möchten. Speichern Sie die Dateien beispielsweise unter C:\VPN\VPN-Verbinden.bat und C:\VPN\VPN-Trennen.bat.
Darüber hinaus können Sie die VPN-Verbindung über den Windows Aufgabenplaner (Taskplaner) automatisch beim Systemstart oder beim Anmelden des Benutzers herstellen lassen.
Sicherheitsempfehlungen für IKEv2 unter Windows
Neben der technischen Einrichtung gibt es einige Sicherheitsaspekte, die Sie beachten sollten.
Verwenden Sie stets AES-256 und SHA-256: Diese Algorithmen gelten im Jahr 2026 als sicher und sind auf den meisten modernen VPN-Servern verfügbar. Verzichten Sie auf ältere Algorithmen wie 3DES oder MD5.
Aktivieren Sie Perfect Forward Secrecy: PFS stellt sicher, dass selbst bei einer Kompromittierung des langfristigen Schlüssels vergangene Kommunikation nicht entschlüsselt werden kann.
Schützen Sie Ihre Zugangsdaten: Geben Sie Ihr VPN-Passwort niemals weiter. Verwenden Sie außerdem komplexe, einzigartige Passwörter und speichern Sie diese in einem Passwort-Manager wie Bitwarden (kostenlos, Open Source) oder 1Password.
Trennen Sie die VPN-Verbindung, wenn Sie sie nicht benötigen: Dadurch vermeiden Sie unnötige Netzwerkbelastung und schützen sich vor potenziellen Angriffen aus dem VPN-Netzwerk.
Halten Sie Windows aktuell: Sicherheitslücken in der IPsec-Implementierung werden regelmäßig durch Windows-Updates geschlossen. Deshalb ist es wichtig, Updates zeitnah einzuspielen.
IKEv2 im Vergleich zu anderen VPN-Protokollen unter Windows
Windows 10 und Windows 11 unterstützen neben IKEv2 noch folgende Protokolle:
SSTP (Secure Socket Tunneling Protocol): Ebenfalls von Microsoft entwickelt, läuft SSTP über HTTPS (Port 443). Das ist ein großer Vorteil, da Port 443 von praktisch keiner Firewall blockiert wird. Jedoch ist SSTP weniger performant als IKEv2 und unterstützt kein MOBIKE.
L2TP/IPsec: Dieses Protokoll gilt als veraltet und sollte nach Möglichkeit nicht mehr verwendet werden. Zudem gibt es Hinweise darauf, dass L2TP/IPsec kompromittiert sein könnte.
PPTP: Ebenfalls veraltet und als unsicher eingestuft. PPTP sollte im Jahr 2026 nicht mehr eingesetzt werden.
OpenVPN: Nicht nativ in Windows integriert, jedoch als Drittanbieterlösung sehr verbreitet. OpenVPN bietet hohe Flexibilität, erfordert aber eine separate Client-Installation.
WireGuard: Ein modernes Protokoll mit sehr geringer Codebasis und hoher Geschwindigkeit. Ebenfalls nicht nativ integriert, aber über Drittanbieter-Clients verfügbar. Deshalb eignet sich WireGuard besonders für Heimanwender, die maximale Leistung wünschen.
Fazit des Vergleichs: Für die native Windows-Integration ist IKEv2 die erste Wahl. Wer Firewalls umgehen muss, sollte stattdessen SSTP in Betracht ziehen.
IKEv2-VPN in Unternehmensumgebungen und Always-On-VPN
In Unternehmensumgebungen wird IKEv2 häufig als Teil einer Always-On-VPN-Lösung eingesetzt. Dabei wird die VPN-Verbindung bereits beim Windows-Start automatisch und unsichtbar für den Nutzer aufgebaut. Das ermöglicht einen nahtlosen Zugriff auf Unternehmensressourcen, ohne dass der Nutzer die Verbindung manuell herstellen muss.
Always-On-VPN erfordert zusätzlich folgende Komponenten:
- Microsoft Intune oder SCCM zur Verteilung der VPN-Profile
- Windows Server mit RRAS (Routing and Remote Access Service) als VPN-Server
- PKI (Public Key Infrastructure) für die Zertifikatsverwaltung
- Active Directory für die Benutzerauthentifizierung
Zudem gibt es zwei Arten von Always-On-VPN-Tunneln: den Gerätetunnel (stellt die Verbindung noch vor der Benutzeranmeldung her) und den Benutzertunnel (wird nach der Anmeldung aktiv). Beide Tunnel können parallel betrieben werden, was maximale Flexibilität und Sicherheit bietet.
Häufige Fragen zur IKEv2-VPN-Einrichtung
Was benötige ich, um IKEv2 unter Windows einzurichten?
Sie benötigen die Serveradresse, Ihre Zugangsdaten (Benutzername und Passwort) sowie ggf. das CA-Stammzertifikat des VPN-Servers. Außerdem sind Administratorrechte auf dem Windows-Gerät erforderlich. Alle weiteren Komponenten sind bereits in Windows integriert – eine zusätzliche Software ist nicht notwendig.
Warum ist IKEv2 besser als L2TP/IPsec?
IKEv2 ist moderner, schneller und sicherer als L2TP/IPsec. Besonders wichtig ist die MOBIKE-Unterstützung, die automatische Wiederherstellung der Verbindung bei Netzwechseln ermöglicht. Zudem gilt L2TP/IPsec als möglicherweise kompromittiert, weshalb es im Jahr 2026 nicht mehr empfohlen wird.
Funktioniert IKEv2 hinter einem NAT-Router?
Ja, IKEv2 funktioniert hinter einem NAT-Router. Dazu muss jedoch der Registrierungsschlüssel AssumeUDPEncapsulationContextOnSendRule auf 2 gesetzt sein. Außerdem muss der Router NAT-Traversal (NAT-T) über UDP-Port 4500 unterstützen und diese Option aktiviert haben.
Warum schlägt die IKEv2-Verbindung mit Fehler 13801 fehl?
Fehler 13801 bedeutet, dass Windows dem Serverzertifikat nicht vertraut. Importieren Sie deshalb das CA-Stammzertifikat in den Zertifikatspeicher des lokalen Computers unter „Vertrauenswürdige Stammzertifizierungsstellen“. Prüfen Sie außerdem, ob Datum und Uhrzeit korrekt eingestellt sind.
Kann ich IKEv2 unter Windows 10 und Windows 11 gleich einrichten?
Die Einrichtung ist auf beiden Systemen nahezu identisch. Unter Windows 10 müssen Sie die Sicherheitseinstellungen jedoch zwingend über das klassische Adaptereinstellungen-Fenster vornehmen, da die Einstellungs-App nicht alle Parameter korrekt setzt. Unter Windows 11 gilt dasselbe Prinzip.
Wie stelle ich sicher, dass kein DNS-Leak vorliegt?
Besuchen Sie nach der VPN-Verbindung die Website dnsleaktest.com oder ipleak.net. Werden dort die DNS-Server Ihres VPN-Anbieters angezeigt, ist alles korrekt. Andernfalls konfigurieren Sie in den VPN-Eigenschaften manuell die DNS-Server des VPN-Netzwerks.
Wie richte ich IKEv2 per PowerShell ein?
Verwenden Sie den Befehl Add-VpnConnection mit dem Parameter -TunnelType IKEv2. Anschließend konfigurieren Sie die Verschlüsselungsparameter mit Set-VpnConnectionIPsecConfiguration. Eine detaillierte Anleitung mit den empfohlenen Parametern finden Sie weiter oben in diesem Artikel.
Was ist der Unterschied zwischen EAP-MSCHAPv2 und zertifikatsbasierter Authentifizierung?
Bei EAP-MSCHAPv2 authentifizieren Sie sich mit Benutzername und Passwort – einfach und weit verbreitet. Die zertifikatsbasierte Authentifizierung verwendet stattdessen digitale Zertifikate und gilt als sicherer, da keine Passwörter übertragen werden. Letztere ist jedoch komplexer einzurichten und wird vor allem in Unternehmensumgebungen eingesetzt.
Wie aktiviere ich Split Tunneling bei IKEv2?
Per PowerShell führen Sie folgenden Befehl aus: Set-VpnConnection -Name "IhrVPN-Name" -SplitTunneling $true. Beachten Sie, dass Split Tunneling den Schutz reduziert, da nicht aller Datenverkehr verschlüsselt wird.
Kann ich die IKEv2-Verbindung automatisch starten lassen?
Ja. Entweder verwenden Sie den Windows Aufgabenplaner, um die Verbindung beim Systemstart herzustellen, oder Sie erstellen eine Batch-Datei mit dem Befehl rasdial "VPN-Name" Benutzername Passwort und fügen diese dem Autostart-Ordner hinzu. Außerdem ist in Unternehmensumgebungen Always-On-VPN über Microsoft Intune die professionelle Lösung.
Fazit
IKEv2 ist unter Windows 10 und Windows 11 das leistungsfähigste und sicherste nativ verfügbare VPN-Protokoll. Die Einrichtung gelingt entweder bequem über die Einstellungs-App oder präzise per PowerShell. Wichtig ist dabei, Zertifikate korrekt zu installieren und die Sicherheitsparameter explizit zu setzen.
Wer Fehler beheben oder eine Unternehmensumgebung aufbauen möchte, findet mit den PowerShell-Befehlen und den Registry-Anpassungen alle notwendigen Werkzeuge direkt in Windows.