Windows 11/10: IKE2 IPSec-VPN Fehler – Ursachen & Lösungen

IKE2 IPSec-VPN Fehler unter Windows 11/10 gezielt beheben: Erfahren Sie alle Ursachen und praktischen Lösungen für eine stabile, sichere VPN-Verbindung.

IKEv2/IPSec-VPN-Verbindungen schlagen unter Windows 10 und Windows 11 aus verschiedenen Gründen fehl. Häufig erscheinen dabei Fehlercodes wie 809, 13801, 800 oder 789, die ohne die richtige Anleitung schwer zu deuten sind.

Dieser Artikel erklärt die häufigsten Ursachen verständlich und zeigt Ihnen Schritt für Schritt, wie Sie das Problem beheben – ohne Vorkenntnisse.

Was ist IKEv2/IPSec und warum schlägt die Verbindung fehl?

IKEv2 (Internet Key Exchange Version 2) ist ein modernes VPN-Protokoll, das zusammen mit IPSec (Internet Protocol Security) für sichere, verschlüsselte Verbindungen sorgt. Beide Protokolle arbeiten eng zusammen: IPSec verschlüsselt die übertragenen Daten, während IKEv2 den Schlüsselaustausch und die Authentifizierung übernimmt. Besonders unter Windows 10 und Windows 11 wird diese Protokollkombination bevorzugt, da sie schnell, stabil und sicher ist.

Dennoch kommt es regelmäßig zu Verbindungsproblemen. Die Ursachen dafür sind vielfältig: Mal blockiert eine Firewall die notwendigen UDP-Ports, mal fehlt ein gültiges Zertifikat, und manchmal ist ein Windows-Systemdienst nicht korrekt gestartet. Zusätzlich kann eine falsche Registrierungseintragung oder eine NAT-Konfiguration das Problem auslösen. Deshalb ist es wichtig, systematisch vorzugehen, anstatt wahllos Einstellungen zu verändern.

In diesem Artikel behandeln wir alle relevanten Fehlercodes, erklären deren Ursachen und führen Sie durch die jeweils passende Lösung.

Die häufigsten IKEv2/IPSec-Fehlercodes unter Windows

Fehlercode 809 – Der VPN-Server antwortet nicht

Fehler 809 ist einer der am weitesten verbreiteten IKEv2/IPSec-Fehlercodes. Die Fehlermeldung lautet: „Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet.“ Dieser Fehler tritt unter Windows 10 und Windows 11 gleichermaßen auf.

Häufige Ursachen für Fehler 809:

• UDP-Ports 500 und 4500 sind blockiert – IKEv2 benötigt zwingend die UDP-Ports 500 und 4500. Wenn Ihre Firewall oder Ihr Router diese Ports sperrt, schlägt die Verbindung sofort fehl.
• NAT-Traversal ist nicht konfiguriert – Befindet sich der VPN-Client hinter einem NAT-Gerät (z. B. einem Heimrouter), muss Windows speziell konfiguriert werden.
• IKE-Fragmentierung – Ab Windows 10 Version 1803 wird die IKE-Fragmentierung unterstützt. Ältere Versionen fragmentieren IKEv2-Pakete nicht korrekt, was zur Ablehnung durch den Server führt.

Lösung 1: Registry-Eintrag für NAT-Traversal setzen

Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie folgenden Befehl aus:

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2 /f

Alternativ können Sie auch folgenden Schlüssel manuell anlegen:

• Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
• Wertname: AssumeUDPEncapsulationContextOnSendRule
• Typ: DWORD
• Wert: 2

Starten Sie anschließend den Computer neu. Dieser Eintrag teilt Windows mit, dass eine verschlüsselte Verbindung auch dann aufgebaut werden soll, wenn sich beide Seiten hinter NAT-Geräten befinden.

Lösung 2: Ports in der Windows Defender Firewall freigeben

1. Öffnen Sie die Windows Defender Firewall mit erweiterter Sicherheit (Suche im Startmenü: „Windows Defender Firewall mit erweiterter Sicherheit“).
2. Klicken Sie links auf Eingehende Regeln → Neue Regel.
3. Wählen Sie Port → UDP → geben Sie 500, 4500 ein.
4. Wählen Sie Verbindung zulassen → für alle Profile aktivieren → vergeben Sie einen Namen, z. B. „IKEv2 VPN Ports“.
5. Wiederholen Sie den Vorgang für Ausgehende Regeln.

Lösung 3: Windows auf aktuelle Version aktualisieren

Zudem sollten Sie sicherstellen, dass Windows auf dem neuesten Stand ist. Öffnen Sie dazu Einstellungen → Windows Update → Nach Updates suchen. Besonders für Windows 10 ist das Update auf Version 1809 oder höher wichtig, da erst ab diesem Build die IKEv2-Fragmentierung vollständig unterstützt wird.

Fehlercode 13801 – IKE-Authentifizierungsdaten sind nicht akzeptabel

Fehler 13801 tritt ausschließlich bei IKEv2-Verbindungen auf und weist auf ein Zertifikatsproblem hin. Die genaue Meldung lautet: „IKE-Authentifizierungs-Anmeldeinformationen sind nicht akzeptabel.“ Im Windows-Ereignisprotokoll erscheint dabei die Ereignis-ID 20227 vom Typ „RasClient“.

Häufige Ursachen für Fehler 13801:

• Das Maschinenzertifikat auf dem VPN-Server ist abgelaufen.
• Das vertrauenswürdige Stammzertifikat der Zertifizierungsstelle fehlt auf dem Client-Computer.
• Der im VPN-Profil angegebene Servername stimmt nicht mit dem im Zertifikat hinterlegten „Subject Alternate Name“ (SAN) überein.
• Das Zertifikat enthält nicht die erforderliche Extended Key Usage (EKU) „Serverauthentifizierung“ (1.3.6.1.5.5.7.3.1).
• Auf dem Computer befinden sich mehrere Zertifikate mit Client-Authentifizierung, und Windows wählt das falsche aus.

Lösung 1: Stammzertifikat korrekt importieren

1. Drücken Sie Windows + R, geben Sie mmc ein und bestätigen Sie.
2. Klicken Sie auf Datei → Snap-In hinzufügen/entfernen.
3. Wählen Sie Zertifikate → Computerkonto → Lokaler Computer.
4. Navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen → Zertifikate.
5. Klicken Sie mit der rechten Maustaste → Alle Aufgaben → Importieren.
6. Importieren Sie das CA-Stammzertifikat (das von der Zertifizierungsstelle ausgestellte Zertifikat).

Lösung 2: Zertifikat im richtigen Speicher ablegen

Wenn Sie ein PKCS#12-Zertifikat (.p12/.pfx) verwenden, achten Sie darauf, es im richtigen Speicher zu hinterlegen:

• Bei Verbindungen mit der Option -AllUserConnection → Speicher Lokaler Computer → Eigene Zertifikate
• Bei Verbindungen ohne diese Option → Speicher Aktueller Benutzer → Eigene Zertifikate

Lösung 3: EKU „IP-Sicherheit IKE Intermediate“ hinzufügen (Unternehmensumgebung)

In größeren Unternehmensumgebungen empfiehlt sich, das Geräteauthentifizierungszertifikat um die EKU „IP-Sicherheit IKE Intermediate“ (1.3.6.1.5.5.8.2.2) zu erweitern. Windows bevorzugt bei mehreren vorhandenen Zertifikaten stets dasjenige mit dieser EKU. Dadurch werden intermittierende 13801-Fehler zuverlässig behoben.

Fehlercode 800 – VPN-Tunnel kann nicht aufgebaut werden

Fehler 800 ist ein allgemeiner Verbindungsfehler und bedeutet: „Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar.“ Dieser Fehler kann bei allen VPN-Typen auftreten, also auch bei IKEv2/IPSec.

Ursachen und empfohlene Vorgehensweise:

• Überprüfen Sie die Serveradresse: Öffnen Sie Einstellungen → Netzwerk & Internet → VPN → klicken Sie auf Ihre VPN-Verbindung → Bearbeiten → stellen Sie sicher, dass Hostname oder IP-Adresse korrekt eingetragen sind.
• Prüfen Sie die Internetverbindung: Testen Sie mit dem Befehl ping in der Eingabeaufforderung, ob der Server grundsätzlich erreichbar ist.
• Deaktivieren Sie IPv6 vorübergehend: Manchmal verursacht IPv6 Konflikte. Öffnen Sie dazu Systemsteuerung → Netzwerk und Freigabecenter → Adaptereinstellungen → rechtsklick auf den Netzwerkadapter → Eigenschaften → deaktivieren Sie Internetprotokoll Version 6 (TCP/IPv6).

Fehlercode 789 – L2TP/IPSec-Verbindung schlägt fehl

Obwohl Fehler 789 vor allem bei L2TP/IPSec auftritt, ist er eng mit IPSec verbunden und deshalb hier relevant. Die Meldung lautet: „Fehler beim Herstellen der Verbindung. Die L2TP-Verbindungsanforderung schlug fehl, weil die Sicherheitsebene eine Verbindung nicht herstellen konnte.“ Häufig liegt dabei ein IPSec-Aushandlungsproblem vor.

Lösung: IPSec-Richtlinien-Agent-Dienst neu starten

1. Drücken Sie Windows + R, geben Sie services.msc ein.
2. Suchen Sie „IKE and AuthIP IPsec Keying Modules“ (IKEEXT) sowie „IPsec Policy Agent“.
3. Starten Sie beide Dienste neu: Rechtsklick → Neu starten.
4. Stellen Sie den Starttyp auf Automatisch: Rechtsklick → Eigenschaften → Starttyp → Automatisch.

Zusätzlich können Sie prüfen, ob der Registrierungswert korrekt gesetzt ist:

• Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
• Wertname: ProhibitIpSec
• Wert: 0 (nicht blockieren)

Fehlercode 1222 – Das Netzwerk ist nicht vorhanden

Fehler 1222 ist besonders auf Windows 10-Geräten bekannt, die von Windows 7 oder 8 aktualisiert wurden. Er bedeutet: „Das Netzwerk ist nicht vorhanden oder wurde nicht gefunden.“ Auffällig dabei: Auf frisch installierten Windows 11-Systemen mit identischer Konfiguration tritt das Problem nicht auf, was auf einen beschädigten Windows-Netzwerkstapel hindeutet.

Lösung 1: WAN-Miniport-Adapter neu installieren

1. Öffnen Sie den Geräte-Manager (Rechtsklick auf Start → Geräte-Manager).
2. Klicken Sie auf Ansicht → Ausgeblendete Geräte anzeigen.
3. Erweitern Sie Netzwerkadapter.
4. Deinstallieren Sie alle WAN-Miniport-Adapter (WAN Miniport IKEv2, IP, IPv6, L2TP, PPPOE, SSTP).
5. Starten Sie Windows neu – Windows installiert die Adapter automatisch neu.

Lösung 2: Netzwerkrücksetzung

Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie nacheinander aus:

netsh winsock reset
netsh int ip reset
ipconfig /flushdns

Starten Sie anschließend den Computer neu.

Systemdienste – die unsichtbare Fehlerquelle

Ein oft übersehener Grund für IKEv2/IPSec-Verbindungsfehler sind Windows-Systemdienste, die nicht gestartet sind oder im falschen Modus laufen. Folgende Dienste sind für IKEv2/IPSec zwingend notwendig:

Dienst	Englischer Name	Empfohlener Starttyp
IKE und AuthIP IPsec-Schlüsselerstellungsmodule	IKEEXT	Automatisch
IPsec-Richtlinien-Agent	PolicyAgent	Automatisch
RAS-Verbindungsverwaltung	RasMan	Manuell (ausgelöst)
Remote-Zugriff, automatische Wählverbindung	RasAuto	Manuell

So prüfen und korrigieren Sie die Dienste:

1. Drücken Sie Windows + R, geben Sie services.msc ein.
2. Suchen Sie jeden der oben genannten Dienste.
3. Falls ein Dienst nicht läuft: Rechtsklick → Starten.
4. Falls der Starttyp falsch ist: Rechtsklick → Eigenschaften → Starttyp → auf den empfohlenen Wert setzen.

Ebenso sollten Sie in diesem Zusammenhang prüfen, ob Xbox Live-Netzwerkdienste unter Windows 10/11 den IPSec-Dienst stören. Öffnen Sie dazu services.msc, suchen Sie Xbox Live Networking Service und setzen Sie den Starttyp auf Deaktiviert, falls Sie diesen Dienst nicht benötigen.

Verschlüsselungsparameter anpassen mit PowerShell

Manchmal stimmen die Verschlüsselungsalgorithmen zwischen Windows-Client und VPN-Server nicht überein. Windows verwendet standardmäßig bestimmte Cipher-Suiten, die der Server möglicherweise nicht unterstützt. In solchen Fällen erscheinen häufig Fehlermeldungen wie „no suitable proposal found“ oder ein direkter Verbindungsabbruch in Phase 2.

Empfohlene Vorgehensweise: IPSec-Parameter per PowerShell setzen

Öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus (ersetzen Sie „MeineVPN" durch den tatsächlichen Namen Ihrer VPN-Verbindung):

Set-VpnConnectionIPsecConfiguration -Name "MeineVPN" `
  -EncryptionMethod AES256 `
  -IntegrityCheckMethod SHA256 `
  -DHGroup Group14 `
  -CipherTransformConstants AES256 `
  -AuthenticationTransformConstants SHA256128 `
  -PfsGroup PFS2048 `
  -PassThru -Force

Falls Ihr Server AES-GCM unterstützt, können Sie alternativ folgendes verwenden:

Set-VpnConnectionIPsecConfiguration -Name "MeineVPN" `
  -EncryptionMethod GCMAES256 `
  -IntegrityCheckMethod SHA256 `
  -DHGroup Group14 `
  -CipherTransformConstants GCMAES256 `
  -AuthenticationTransformConstants GCMAES256 `
  -PfsGroup PFS2048 `
  -PassThru -Force

Wichtig: Mischen Sie nicht AES-GCM und AES-CBC zwischen Client und Server, ohne die Kompatibilität beider Seiten zu prüfen. Zudem sollten Sie nach dem Ausführen des Befehls die VPN-Verbindung neu starten.

Diagnose mit dem Windows-Ereignisprotokoll

Um IKEv2/IPSec-Fehler präzise zu diagnostizieren, ist das Windows-Ereignisprotokoll das wichtigste Werkzeug. Deshalb sollten Sie stets dort nachschauen, bevor Sie Einstellungen ändern.

So öffnen Sie die relevanten Protokolle:

1. Drücken Sie Windows + R, geben Sie eventvwr.msc ein.
2. Navigieren Sie zu Windows-Protokolle → Anwendung.
3. Filtern Sie nach der Quelle „RasClient“.
4. Suchen Sie nach Ereignis-ID 20227 – diese enthält den genauen Fehlercode.

Zusätzlich finden Sie unter Anwendungs- und Dienstprotokolle → Microsoft → Windows → IKEv2 detaillierte Informationen zum IKE-Aushandlungsprozess. Ebenso hilfreich ist der Pfad Anwendungs- und Dienstprotokolle → Microsoft → Windows → NetworkProfile, wo Netzwerkidentifikationsfehler sichtbar werden.

Nützliche PowerShell-Diagnose:

Prüfen Sie mit folgendem Befehl, ob die UDP-Ports 500 und 4500 erreichbar sind:

Test-NetConnection -ComputerName  -Port 4500

Außerdem können Sie alle konfigurierten VPN-Verbindungen und deren IPSec-Parameter anzeigen lassen:

Get-VpnConnection | Select-Object Name, ServerAddress, TunnelType, AuthenticationMethod

Häufige Konfigurationsfehler beim Einrichten von IKEv2/IPSec

Neben Systemfehlern entstehen viele Verbindungsprobleme durch Konfigurationsfehler beim Einrichten der VPN-Verbindung. Deshalb sollten Sie folgende Punkte gezielt überprüfen:

1. Falscher VPN-Typ ausgewählt
Öffnen Sie Einstellungen → Netzwerk & Internet → VPN → klicken Sie auf Ihre Verbindung → Weitere VPN-Optionen → Adaptereigenschaften → Reiter Sicherheit → stellen Sie unter „Typ des VPNs“ ausdrücklich „IKEv2″ ein. Wenn dort „Automatisch“ ausgewählt ist, probiert Windows unter Umständen zuerst andere Protokolle.

2. Authentifizierungsmethode stimmt nicht überein
Wählen Sie im gleichen Dialog unter „Datenverschlüsselung“ und „Authentifizierung“ die vom Server vorgeschriebene Methode. Bei zertifikatsbasierter Authentifizierung wählen Sie „Computerzertifikat verwenden“. Bei EAP-basierter Authentifizierung wählen Sie „Extensible Authentication Protocol (EAP)“ und danach die passende EAP-Methode (z. B. EAP-MSCHAPv2).

3. Servername passt nicht zum Zertifikat
Der im VPN-Profil eingetragene Hostname muss exakt mit dem „Subject“ oder einem „Subject Alternative Name“ (SAN) des Serverzertifikats übereinstimmen. Verwenden Sie deshalb grundsätzlich den vollständigen Domainnamen (FQDN) statt einer IP-Adresse, sofern das Zertifikat auf einen FQDN ausgestellt wurde.

4. Firewall auf dem VPN-Server blockiert Verbindungen
Prüfen Sie auf dem VPN-Server, ob die Windows Defender Firewall oder eine externe Firewallregel die IKEv2-spezifischen Ports freigibt: UDP 500 (IKE), UDP 4500 (NAT-T) sowie IP-Protokoll 50 (ESP – Encapsulating Security Payload).

IKEv2/IPSec-Fehler nach Windows-Updates

Es kommt vor, dass IKEv2/IPSec-Verbindungen nach einem kumulativen Windows-Update plötzlich nicht mehr funktionieren. Ebenso können Verbindungen, die auf einem Upgrade-System eingerichtet wurden, trotz identischer Konfiguration versagen, während sie auf einem frisch installierten Windows einwandfrei laufen. In solchen Fällen ist es ratsam, folgende Schritte zu unternehmen:

1. Windows-Netzwerkreparatur per Eingabeaufforderung:

Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie aus:

netsh winsock reset catalog
netsh int ipv4 reset reset.log
netsh int ipv6 reset reset.log

2. IPSec-Komponenten neu registrieren:

regsvr32 /s polstore.dll
regsvr32 /s ikeext.dll
regsvr32 /s ipsecsvc.dll

Starten Sie danach den Computer neu.

3. In-Place-Upgrade als letztes Mittel

Falls alle anderen Maßnahmen scheitern, kann ein In-Place-Upgrade (Reparaturinstallation) von Windows helfen, ohne Dateien und installierten Anwendungen zu verlieren. Dazu laden Sie das aktuelle Windows 11 oder Windows 10 ISO von der Microsoft-Website herunter, starten Sie die Setup.exe und wählen Sie „Windows aktualisieren“ mit der Option „Persönliche Dateien und Apps behalten“.

Empfohlene Vorgehensweisen für eine stabile IKEv2/IPSec-Verbindung

Damit Ihre IKEv2/IPSec-VPN-Verbindung dauerhaft stabil bleibt, sollten Sie folgende empfohlene Vorgehensweisen umsetzen:

• Verwenden Sie starke Algorithmen: AES-256 für die Verschlüsselung, SHA-256 für die Integrität und DH-Gruppe 14 (2048 Bit) oder höher sind heute Standard und werden von allen modernen VPN-Gateways unterstützt.
• Halten Sie Zertifikate aktuell: Überprüfen Sie die Gültigkeitsdauer aller eingesetzten Zertifikate regelmäßig. Abgelaufene Zertifikate sind eine der häufigsten Fehlerquellen.
• Erstellen Sie ein Backup Ihrer VPN-Konfiguration: Exportieren Sie Ihr funktionierendes VPN-Profil sowie das zugehörige PowerShell-Skript mit Set-VpnConnectionIPsecConfiguration. Dadurch können Sie nach einem Systemwechsel die Verbindung schnell wiederherstellen.
• Überwachen Sie Systemdienste: Stellen Sie sicher, dass IKEEXT und PolicyAgent auf Automatisch eingestellt sind. Zusätzlich empfiehlt sich ein regelmäßiger Blick ins Ereignisprotokoll, insbesondere nach größeren Windows-Updates.
• Nutzen Sie bei komplexen Unternehmensszenarien einen dedizierten VPN-Client: Für Unternehmensnetzwerke sind spezialisierte Clients wie Cisco Secure Client (ehemals AnyConnect), GlobalProtect von Palo Alto Networks oder Fortinet FortiClient zuverlässiger als der eingebaute Windows-Client, da sie mehr Diagnoseoptionen und Protokollierungsmöglichkeiten bieten.

Unterschiede zwischen Windows 10 und Windows 11

Obwohl die IKEv2/IPSec-Implementierung in beiden Windows-Versionen grundsätzlich ähnlich ist, gibt es dennoch einige Unterschiede, die Sie kennen sollten:

Windows 10 hat in älteren Builds (vor 1803) keine native IKEv2-Fragmentierungsunterstützung. Außerdem zeigt sich, dass Systeme, die von Windows 7/8 auf Windows 10 aktualisiert wurden, häufiger Netzwerkstapelprobleme aufweisen als Neuinstallationen.

Windows 11 unterstützt dagegen IKEv2 vollständiger und hat in den Builds ab 2022 verbesserte Diagnosemöglichkeiten. Zudem unterstützt Windows 11 den ETW-Provider Microsoft.Windows.Networking.Ikeext, der eine deutlich einfachere Auswertung von IKE-Traces ermöglicht. Dennoch können unter Windows 11 Verbindungsprobleme auftreten, wenn das System als In-Place-Upgrade von Windows 10 eingerichtet wurde.

In beiden Fällen sind die Konsolenbefehle, Dienste und Registrierungspfade identisch. Die Benutzeroberfläche unterscheidet sich geringfügig, die zugrundeliegende IKEv2/IPSec-Logik ist jedoch dieselbe.

Checkliste zur Fehlerdiagnose – Schritt für Schritt

Wenn Sie nicht wissen, wo Sie anfangen sollen, empfiehlt sich folgende Reihenfolge:

1. Ereignisprotokoll prüfen – Ereignis-ID 20227 in der RasClient-Quelle aufrufen und den Fehlercode notieren.
2. Internetverbindung testen – Mit ping oder Test-NetConnection die Erreichbarkeit des Servers prüfen.
3. Ports prüfen – UDP 500 und UDP 4500 müssen offen sein.
4. Systemdienste prüfen – IKEEXT und PolicyAgent müssen laufen.
5. Registry-Wert setzen – AssumeUDPEncapsulationContextOnSendRule = 2 unter PolicyAgent.
6. Zertifikate prüfen – Stammzertifikat vorhanden? Gültigkeitsdatum abgelaufen? EKU korrekt?
7. Verschlüsselungsparameter anpassen – Set-VpnConnectionIPsecConfiguration mit passenden Algorithmen ausführen.
8. WAN-Miniport-Adapter neu installieren – Falls vorige Schritte nicht helfen.
9. Netzwerkstapel zurücksetzen – netsh winsock reset, netsh int ip reset.
10. Windows aktualisieren oder Reparaturinstallation durchführen – Als letztes Mittel.

Häufige Fragen zu IKEv2/IPSec-VPN-Fehlern

Was bedeutet IKEv2-Fehlercode 809 genau?

Fehlercode 809 bedeutet, dass Windows keine Verbindung zum VPN-Server aufbauen konnte, weil der Server nicht geantwortet hat. Häufig sind dabei die UDP-Ports 500 und 4500 blockiert, entweder durch eine lokale Firewall oder durch den Router. Ebenso kann eine fehlende NAT-Traversal-Konfiguration die Ursache sein. Deshalb empfiehlt sich als erster Schritt, den Registry-Wert AssumeUDPEncapsulationContextOnSendRule auf 2 zu setzen und die Ports freizugeben.

Was verursacht Fehlercode 13801 unter Windows 10/11?

Fehlercode 13801 ist ein Zertifikatsfehler. Er tritt auf, wenn das Maschinenzertifikat auf dem VPN-Server abgelaufen ist, das Stammzertifikat der CA auf dem Client fehlt oder der Servername im VPN-Profil nicht mit dem Zertifikat übereinstimmt. Zusätzlich kann ein fehlendes oder falsches EKU-Attribut die Ursache sein. Deshalb sollten Sie zunächst das CA-Zertifikat im Speicher „Vertrauenswürdige Stammzertifizierungsstellen“ prüfen.

Wie starte ich den IKEEXT-Dienst unter Windows neu?

Öffnen Sie services.msc über Windows + R, suchen Sie den Dienst „IKE und AuthIP IPsec-Schlüsselerstellungsmodule“ (englisch: IKEEXT) und klicken Sie mit der rechten Maustaste darauf. Wählen Sie anschließend „Neu starten“. Ebenso sollten Sie den Dienst „IPSec-Richtlinien-Agent“ (PolicyAgent) neu starten. Falls die Dienste nicht starten, prüfen Sie deren Abhängigkeiten in den Diensteigenschaften.

Warum funktioniert die IKEv2-VPN-Verbindung auf Windows 11 nach einem Upgrade von Windows 10 nicht?

Dieser Fehler hängt häufig mit einem beschädigten Netzwerkstapel zusammen, der vom Upgrade übernommen wurde. Frisch installierte Windows 11-Systeme sind in der Regel nicht betroffen. Deshalb empfiehlt sich zunächst ein netsh winsock reset sowie die Neuinstallation der WAN-Miniport-Adapter über den Geräte-Manager. Als weitergehende Lösung kann ein In-Place-Upgrade mit dem aktuellen Windows 11 ISO helfen.

Welche UDP-Ports benötigt IKEv2/IPSec?

IKEv2/IPSec benötigt zwingend UDP-Port 500 für die IKE-Aushandlung und UDP-Port 4500 für NAT-Traversal (NAT-T). Zusätzlich muss IP-Protokoll 50 (ESP) erlaubt sein, da damit die verschlüsselten Nutzdaten übertragen werden. Wenn sich Client oder Server hinter einem NAT-Gerät befinden, wird der gesamte Datenverkehr über UDP 4500 abgewickelt.

Wie passe ich die Verschlüsselungsparameter einer IKEv2-Verbindung unter Windows an?

Öffnen Sie PowerShell als Administrator und führen Sie Set-VpnConnectionIPsecConfiguration mit den passenden Parametern aus. Geben Sie dabei die Verschlüsselungsmethode (z. B. AES256), die Integritätsprüfung (z. B. SHA256), die DH-Gruppe (z. B. Group14), CipherTransformConstants, AuthenticationTransformConstants und bei Bedarf PfsGroup an. Alle Parameter müssen exakt mit den Einstellungen des VPN-Servers übereinstimmen.

Kann eine Antivirensoftware IKEv2/IPSec-Verbindungen blockieren?

Ja, Antivirensoftware und Sicherheitslösungen von Drittanbietern können IKEv2/IPSec-Verbindungen blockieren, indem sie UDP-Ports filtern oder den Netzwerkverkehr inspizieren. Außerdem können Software-Firewalls wie ESET, Kaspersky oder Avast eigene Regeln anlegen, die VPN-Datenverkehr einschränken. Deaktivieren Sie die Firewall-Komponente der Antivirussoftware testweise, um zu prüfen, ob sie die Ursache ist.

Wie exportiere und importiere ich eine IKEv2-VPN-Verbindung unter Windows?

Leider bietet Windows keine direkte Export-Funktion für VPN-Profile. Stattdessen können Sie mit PowerShell alle Verbindungsdetails auslesen: Get-VpnConnection -Name „MeineVPN" | Format-List. Außerdem lässt sich die Verbindung mit Add-VpnConnection per Skript neu anlegen. Alternativ können Sie das VPN-Profil als XML exportieren, wenn Sie Microsoft Intune oder eine MDM-Lösung verwenden.

Was bedeutet „no suitable proposal found“ bei IKEv2?

Diese Meldung erscheint im VPN-Gateway-Protokoll und bedeutet, dass Client und Server keine gemeinsame Verschlüsselungskonfiguration gefunden haben. Das passiert häufig, wenn Windows mit seinen Standardparametern eine DH-Gruppe oder einen Algorithmus vorschlägt, den der Server nicht unterstützt. Deshalb müssen Sie mit Set-VpnConnectionIPsecConfiguration die Parameter so anpassen, dass sie exakt mit den Servereinstellungen übereinstimmen.

Gibt es Unterschiede bei der Fehlerdiagnose zwischen Windows 10 und Windows 11?

Die grundlegenden Diagnosetools und Fehlercodes sind in beiden Windows-Versionen identisch. Jedoch bietet Windows 11 zusätzlich den ETW-Provider Microsoft.Windows.Networking.Ikeext, der detailliertere IKEv2-Trace-Daten liefert. Zudem unterscheiden sich die Benutzeroberflächen leicht: Unter Windows 11 finden Sie VPN-Einstellungen unter Einstellungen → Netzwerk & Internet → VPN, während unter Windows 10 der Pfad identisch ist, das Design jedoch unterschiedlich aussieht.

Fazit

IKEv2/IPSec-VPN-Fehler unter Windows 10 und Windows 11 lassen sich in den meisten Fällen durch systematisches Vorgehen lösen. Besonders die Registry-Anpassung für NAT-Traversal, der Neustart der IKEEXT- und PolicyAgent-Dienste sowie die korrekte Zertifikatskonfiguration beseitigen die häufigsten Ursachen zuverlässig.

Wer die Verschlüsselungsparameter sorgfältig per PowerShell abstimmt und regelmäßig Zertifikate und Windows-Updates prüft, vermeidet künftige Verbindungsausfälle dauerhaft. Bei anhaltenden Problemen lohnt sich außerdem der Einsatz eines dedizierten VPN-Clients.