Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt

Windows[English]Die Sicherheitsupdates für Windows, die zum 11. Januar 2022 veröffentlicht wurden, haben einen sehr unangenehmen Kollateralschaden. Alle Nutzer die auf VPN-Verbindungen mit L2TP over IPSEC setzen, funktionieren nach der Installation der betreffenden Updates nicht mehr. Hier ein Überblick, was derzeit dazu an Leserkommentaren aus dem Blog und sonst so bekannt ist.


Anzeige

Windows 10/11-Updates bricken L2TP-VPN

Nachdem Microsoft die Sicherheitsupdates für Windows zum zum 11. Januar 2022 veröffentlicht hat, sind mir zum 12. Januar 2022 diverse Postings und Kommentare aufgefallen, in denen Probleme mit VPN-Verbindungen, die L2TP over IPSEC verwenden, berichten.

Update KB5009566 für Windows 11

Der erste Kommentar zum Thema stammt von Blog-Leser Julius, der das Problem in Verbindung mit dem kumulativen Update KB5009566 für Windows 11 folgendermaßen beschreibt:

KB5009566 (Windows 11 22000.434) scheint dazu zu führen, dass manche VPN-Verbindungen (L2TP/pre-shared key/PAP) mit dem in Windows 11 integrierten VPN-Client nicht mehr funktionieren. Der Verbindungsaufbau scheitert mit der Fehlermeldung

"The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer".

Insbesondere sind VPN-Verbindungen zu Cisco Meraki MX-Appliances betroffen. Bei mir tritt das Problem auf allen Geräten auf, die KB5009566 erhalten haben und auch unter unterschiedlichen Architekturen (amd64 und arm64).

Julius schreibt, dass nach der Deinstallation des Januar-Sicherheitsupdates der VPN-Verbindungsaufbau wieder einwandfrei klappt. Blog-Leser Julius hat mir auch noch links zu externen Quellen gepostet, in denen der Fehler beschrieben wird.

Update KB5009543 für Windows 10 20H2 – 21H2

Auch das Update KB5009543 für Windows 10 20H2 – 21H2 verhindert die VPN-Verbindungsaufnahme mit L2TP over IPSEC, wie Blog-Leser innocent bystander in diesem Kommentar bestätigt.

IKEv2 betroffen?

Blog-Leser Joe erwähnt hier, dass VPN-Tunnel, die IKEv2 verwenden, von diesem Problem nicht betroffen seien. Dem wiederspricht aber dieser Kommentar, der explizit erwähnt, dass auch IKEv2 betroffen sei. Ich selbst kann da aktuell nichts testen.

Auf reddit gibt es den Post KB5009543 – January 11, 2022 Breaks L2TP VPN Connections, der das Ganze ebenfalls bestätigt. Der betreffende Nutzer schreibt:

As the title says. Just rebooted two Win10 laptops that installed KB5009543 & KB5008876. Now their L2TP VPNs to different sites (All SonicWalls) are not working. "The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer".

There's two other confirmed reports in the Windows 10 subreddit.

I uninstalled KB5009543 and now my L2TP VPNs work again.

Von Blog-Leser Mathias S. habe ich dann zum Mittag des 12. Januar 2022 noch per Mail eine ähnliche Information bekommen. Mathias schreibt:

Hallo Günther,

erstmal herzlichen Dank für Deinen Blog, er ist eine unersetzbare Quelle für Windows-Problemlösungen!

Ich möchte heute auch mal etwas beitragen, wir haben seit heute VPN-Probleme bei unseren Kunden, welche L2TP/IPsec nutzen (u.a. betrifft dies dies VPNs bei Meraki MX und SonicWall):

Mit dem Januar Update KB5009543 wird die L2TP/IPsec VPN Funktionalität zerschossen, eine VPN-Einwahl ist dann nicht mehr möglich.

Fehlermeldung:

L2TP-Verbindungsfehler

bzw. Error 789 in der Ereignisanzeige. Zurücksetzen des Network stacks und andere Dinge beheben das Problem nicht. Einzig

wusa /uninstall /kb:5009543 (in elevated command shell).

führt wieder zu einem funktionierenden VPN.

In der Techcommunity von Microsoft gibt es den Beitrag Windows 11 Update (KB5009566) inhibits VPN connection vom 11. Januar, der das Ganze ebenfalls beschreibt. Bisher hilft in allen Fällen nur die Deinstallation der oben genannten Sicherheitsupdates vom 11. Januar 2022.

Ähnliche Artikel:
Microsoft Office Updates (4. Januar 2022)
Microsoft Security Update Summary (11. Januar 2022)
Patchday: Windows 8.1/Server 2012 R2-Updates (11. Januar 2022), mögliche Boot-Probleme
Patchday: Windows 10-Updates (11. Januar 2022)
Patchday: Windows 11-Updates (11. Januar 2022)
Patchday: Updates für Windows 7/Server 2008 R2 (11. Januar 2022)


Anzeige

Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife
Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt
Windows Server 2012/R2: Januar 2022 Update KB5009586 brickt Hyper-V Host
Microsoft Patchday-Probleme Jan. 2022: Bugs bestätigt, Updates zurückgezogen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Problemlösung, Windows, Windows 10 abgelegt und mit Patchday 1.2022, Problem, Sicherheit, Update, Windows 10, Windows 11 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

31 Antworten zu Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt

  1. Andy sagt:

    Es geht aber nur um die interne VPN-Funktion, verstehe ich das richtig? Wenn ein Client des Herstellers, zum Beispiel Checkpoint, genutzt wird ist alles ok?

    • Günter Born sagt:

      Aktuell liegen mir nur Hinweise zur internen VPN-Funktionalität vor. Wenn ein Client eines Drittanbieters die gleiche L2TP over IPSEC von Windows verwendet, dürfte der auch betroffen sein.

    • Harald.L sagt:

      Der Lancom Advanced VPN Client (v3.13) funktioniert hier auf Win10 21H2 nach den Januar-Updates weiterhin. Also vermutlich tatsächlich nur der interne VPN-Client betroffen.

  2. E sagt:

    Bei 1909 tritt das Problem auch auf. Hier ist die KB5009545 Schuld.

  3. Thomas sagt:

    Im letzten Satz:
    Das Update muss doch DE-installiert werden, oder übersehe ich einen Patch davor.

  4. Peter sagt:

    Der ShrewSoft-Client für eine Verbindung zu einer AVM FritzBox funktioniert unter Windows 10 weiterhin.

  5. Michel Py sagt:

    Windows 10 21H2 – kein Win10 L2TP VPN geht mehr Heute nach W.U.
    Mit dem Zyxel SecuExtender SSL VPN Client geht es noch.
    Gibt es nur noch Roboter bei den Microsoft Tester ?
    (Roboter müssen nicht im Home-Office arbeiten)

  6. Jonas sagt:

    Hallo,

    ich kann ggf. beim Eingrenzen helfen: wenn es sich bei der "Gegenstelle" um eine Synology-NAS (DS220j, 7.0.1) mit VPN-Funktion handelt tritt der Fehler auf. Handelt es sich jedoch um einen Windows 2019-Server (aktuellstes Patchlevel) mit dem SoftEther VPN-Server (Version 4.38) funktioniert die Verbindung problemlos.

    Beste Grüße, Jonas

  7. HenDrei sagt:

    Der Fortigate VPN Client lauft zumindest noch bei mir …

  8. TimC sagt:

    IKEv2 ist auf jeden Fall auch betroffen. (mehrere Kunden, können nach Deinstallation des Updates IKEv2 wieder nutzen)

  9. Olli sagt:

    Zumindest für Windows 10 scheint es im WSUS ein zweites (neueres?) Paket für KB5009543 und KB5008876 zu geben. Ich habe seit heute morgen jeweils zwei Elemente.
    Unterschiede bei KB5009543 sind die "zugewiesenen Produkte" und "Updates, die dieses Update ersetzen". Das Freigabedatum ist identisch.

    Einmal "Windows 10, version 1903 and later, Windows 10 LTSB", hier ersetzt das Update folgende Elemente "2020-11 CU Windows 10 21H2 x64 (KB5007186)" und "2020-12 CU Windows 10 21H2 x64 (KB5008212)".

    Das andere nur ""Windows 10, version 1903 and later", dafür ersetzt das Update viel mehr Elemente "2020-05 CU Windows 10 21H2 x64 (KB5003173)", "2020-06 CU Windows 10 21H2 x64 (KB5003637)", "2020-07 CU Windows 10 21H2 x64 (KB5004945)", "2020-07 CU Windows 10 21H2 x64 (KB5004237)", "2020-08 CU Windows 10 21H2 x64 (KB5005033)", "2020-09 CU Windows 10 21H2 x64 (KB5005565)", "2020-10 CU Windows 10 21H2 x64 (KB5006670)", "2020-11 CU Windows 10 21H2 x64 (KB5007186)" und "2020-12 CU Windows 10 21H2 x64 (KB5008212)".

    Das letztere Update wird mir als erforderlich für fast alle unserer Win10 Clients angezeigt. Das scheint das neuere zu sein.

  10. Alex B sagt:

    Hatte gerade das selbe Problem auf einen Surface mit 20H2.
    Update KB5009543 deinstalliert – Surface neu gestartet – Fehler bestand aber weiterhin.
    Habe dann das VPN Profil nochmals angelegt – dann hat es geklappt.

  11. Ed sagt:

    KB5008873 or KB5009557 – One of these updates also affected VPN connectivity

  12. n8c sagt:

    Da wusa ja seit W10 silent nicht mehr geht, hier PS falls es wer braucht:
    > Get-WindowsPackage -Online | ?{$_.ReleaseType -like "*Update*"} | ForEach-Object {Get-WindowsPackage -Online -PackageName $_.PackageName} | Where-Object {$_.Description -like "*KB5009543*"} | Remove-WindowsPackage -Online -NoRestart

    Wir brauchen endlich Softwarehaftung, das geht überhaupt nicht klar was für absolut vorhersehbare Use Cases MS seit Dezember mal eben weggekegelt hat…

  13. Thomas Schulz sagt:

    Amüsant, dieses notorische Testen-Gefordere. Als ob jemand, der nach Trial-and-Error produziert, ernsthaft programmieren würde. Wer nicht bei jeder Programmzeile schon vorher weiß, was passiert, kann nunmal auch mit noch so viel Testen Katastrophen nicht völlig vermeiden.

  14. Friedemann sagt:

    Ich will ja nicht beckmessern, aber der zweite Satz hat mich schmunzeln lassen: "Alle Nutzer [die auf VPN-Verbindungen mit L2TP over IPSEC setzen,] funktionieren nach der Installation der betreffenden Updates nicht mehr."

    Ich bin ganz dankbar, dass ich selbst nicht auch noch auf Updates von MS angewiesen bin, wo die es offenbar mal wieder geschafft haben, maximalen Schaden und Aufwand hervorzurufen mit der besonderen Qualität ihrer Updates. Es genügt, dass meine Rechner diese Updates brauchen…

    • Günter Born sagt:

      Eben noch auf Facebook einen Screenshot eines WSUS gesehen, wo mir wieder der besondere Humor aus Redmond bewusst wurde – die verteilen nämlich "Qualitätsupdates". Ich könnte weinen, wenn das nicht so lustig wäre.

  15. WernerP sagt:

    Ich hatte heute den Fehler auf einem Windows 11 Rechner. Nach Deinstallation des Updates KB5009566 konnte die VPN-Verbindung problemlos wiederhergestellt werden.

  16. Stephan Hormuth sagt:

    Ich kann (leider) den Fehler bestätigen für W10Pro 21H2 nach KB5009543, Windows VPN Verbindung via L2TP IPSEC zu einer Sophos UTM. Nach Deinstallation des KB kann die Verbindung wieder aufgebaut werden.

  17. Timur Born sagt:

    Für Nutzer von Synology NAS als VPN Server eigentlich eine gute Gelegenheit auf OpenVPN umzusteigen, zumal dann auch TCP als Transportprotokoll nutzbar ist. Leider ist das im Upload aber teilweise deutlich langsamer als L2TP over IPSEC via internem Windows Client.

    (PS: Nicht verwandt. ;))

  18. JED sagt:

    Hi,
    die Lösung von Benorado ist mir lieber als die Deinstallation der Updates. Ist allerdings ein blödes Hin- und Her-Gerödel mit den Berechtigungen und wird vermutlich von Windows ehebaldigst wieder kaputtrepariert. MS sollte aber ja wohl jede Sekunde mit einem richtigen Patch kommen :-P
    https://techcommunity.microsoft.com/t5/report-an-issue/windows-11-update-kb5009566-inhibits-vpn-connection/m-p/3057844/page/4
    Bisschen runterscrollen…

  19. JED sagt:

    Ich hab's einem Freund gerade so erklärt (wohlgemerkt geklaut aus dem zuerst genannten Forenthread):

    Man kann den VPN-Fehler umschiffen, bis vermutlich die Windoof-Selbstreparatur zuschlägt. Dazu muss man die Datei
    C:\windows\system32\IKEEXT.DLL
    durch die alte ersetzen, die man bei Windows 10 in etwa in
    C:\Windows\WinSxS\amd64_microsoft-windows-network-security_31bf3856ad364e35_10.0.19041.1348_none_41dd455edfc64ab7
    findet. Sonst einfach nur in C:\Windows\WinSxS\ gehen und das ähnlichste Verzeichnis mit dem letzten Datum vor dem aktuellen Patch anschauen.

    Blöderweise ist das ein ziemliches Gerödel mit Besitzübernahme der upgedateten Datei durch den Admin, Rechteänderung, Umbenennen, Reinkopieren der alten aus WinSxS und sicherheitshalber dann die Rechte wieder einschränken…

    Vielen Dank für die viele Hilfe, die wir hier schon gefunden haben!

  20. MS-Leser sagt:

    Was ist mit dem gestern erschienenen
    https://support.microsoft.com/de-de/topic/17-januar-2022-kb5010795-betriebssystem-build-22000-438-out-of-band-2d2b9310-d845-41c4-9907-aeea24f36a63

    welches angeblich:
    "Behebt ein bekanntes Problem, das dazu führen kann, dass IP Security-Verbindungen (IPSEC) mit einer Lieferanten-ID fehlschlagen. VPN-Verbindungen mit Layer 2 Tunneling Protocol (L2TP) oder IP-Sicherheits-Internet Key Exchange (IPSEC IKE) sind möglicherweise ebenfalls betroffen."

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.