[English]Seit Microsoft Windows 11 24H2 allgemein freigegeben hat, sind mir Meldungen zu Problemen rund um das Thema VPN-Verbindungen (CheckPoint VPN, WireGuard, Direct Access) untergekommen. Ich fasse mal einige dieser Meldungen in einem Beitrag zusammen, auch um ein Bild zu bekommen, ob es nur Einzelfälle sind oder ob mehr Leute betroffen sind.
Anzeige
Probleme mit CheckPoint VPN
Auf Patchmanagement.org ist mir in der Mailling-Liste bereits zum 3. Oktober 2024 eine Frage eines Betroffenen untergekommen. Dieser hat eine Maschine auf Windows 11 24H2 aktualisiert und verwendet VPN-Clients. In der Mailing-Liste fragt er in seinem Post, ob jemand ein Problem mit VPN-Clients nach dem Windows 11 24H2-Update festgestellt habe?
In seiner Umgebung, schreibt der Betreffende, verwendet man CheckPoint VPN. Nach dem Upgrade auf Windows 11 24H2 verbindet sich der CheckPoint-Client mit der Remote-Stelle, baut einen Tunnel auf und trennt kurz darauf die Verbindung wieder.
Ein Teilnehmer schrieb, dass seiner Erinnerung nach, als man in seiner Umgebung begann, Windows 11 auf Notebooks zuzulassen, die VPN-Verbindungen extrem langsam im Durchsatz waren. Das Problem ließ sich lösen, als der Dienst "Routing and Remote Access" aktiviert wurde.
WireGuard-Verbindungsprobleme
Blog-Leser Stefan informierte mich in einer Mail vom 14. Oktober 2024 nicht nur über Aktivierungsverluste beim Upgrade (siehe Windows 11 24H2: Aktivierung beim Upgrade verloren?). Stefan schrieb mir auch, dass er nach dem Upgrade auf Windows 11 24H2 Probleme mit WireGuard-Verbindungen beobachtete.
Anzeige
WireGuard ist eine freie Software zum Aufbau eines virtuellen privaten Netzwerkes über eine verschlüsselte Verbindung. Als Besonderheit ist diese VPN-Technik direkt im Betriebssystemkern integriert und erlaubt so eine höhere Verarbeitungsgeschwindigkeit als vergleichbare Lösungen wie IPsec oder OpenVPN.
Stefan beobachtete, dass zwar WireGuard-Tunnel werden aufgebaut wurden. Es konnten aber keine Daten übertragen werden. Auf der Gegenseite war der Client mit aktiver WireGuard-Verbindung in der Firewall zu sehen. Der Tunnel steht also theoretisch, schloss der Leser daraus. Der Versuch einer Neuinstallation von WireGuard brauchte jedoch keinen Erfolg.
In einer Nachtrags-Mail informierte der Leser mich, dass dieses Problem ggf. nur WireGuard-Verbindungen zu UniFi-Gateways betrifft. In dieser Konstellation lässt sich das Verbindungsproblem über den Tunnel schnell lösen, indem in der Konfigurationsdatei des WireGuard-Clients in der Zeile "AllowedIPs" die IP-Adresse des Clients auf dem Gateway gelöscht wird. Dass ist die Adresse, die im Abschnitt "[Interface]" unter "Address" steht, gibt der Leser an. Hier muss Ubiquiti die Erstellung der Konfigurationsdateien anpassen. Vielleicht hilft es jemandem weiter – mein Dank an Stefan für die Hinweise.
Direct Access und Netzwerk-Probleme
In der bereits oben erwähnten Patchmanagement.org Mailling-Liste sind mir auch einige Posts untergekommen, die von Direct Access und Netzwerk-Problemen berichteten. Ein Nutzer berichtete, dass man einen Computer aufgerüstet und festgestellt habe, dass DirectAccess und das private Wifi-Netzwerk nicht mehr funktionieren.
Die Deinstallation von Windows 11 24H2 hat das Problem wieder behoben. Der Betreffende gibt an, dass man die mögliche Ursache noch untersuchen müsse, hat sich aber auf der Mailing-Liste nicht mehr gemeldet. Andere Poster in diesem Thread beschreiben Abstürze des Netzwerks – aber nichts sehr spezifisches. Auf reddit.com gibt es diesen Thread, in dem ebenfalls Probleme mit DirectAccess diskutiert werden.
Ergänzung: Bezüglich Netzwerk-Probleme verweise ich auf diesen Kommentar von Manuel hier im Blog. Dieser berichtet, dass das Gateway in der Netzwerkkonfiguration nach der Windows 11 24H2-Installation fehlt. Wird das Gateway manuell hinzugefügt, klappt es.
Ich hatte bereits im Blog-Beitrag Windows 11 24H2: Böse Probleme nach dem Upgrade berichtet, dass Microsoft DirectAccess im Juni 2024 abgekündigt hatte. Die Funktionalität soll durch Alway On VPN ersetzt werden soll (siehe mein Beitrag Windows: DirectAccess abgekündigt; Always On VPN empfohlen).
Im Kommentar hier wurde von einem Leser bereits darauf hingewiesen, dass DirectAccess nach dem Feature-Upgrade auf Windows 11 24H2 nicht mehr funktioniere. Der Leser schrieb "Wenn jemand 802.1x EAP-TLS für die Netzwerk-Authentifizierung verwendet, kann es vorkommen, dass Netzwerkadapter die Konfiguration verlieren und keine Authentifizierung mehr möglich ist."
Bei neowin.net hat man das Thema in diesem Artikel aufgegriffen. Paul Cobben widmet sich in diesem Artikel ebenfalls der Thematik und beschreibt potentielle Workarounds.
Ähnliche Artikel:
Windows 11 24H verfügbar (1. Oktober 2024)
Windows 11 24H2: Zahlreiche Show-Stopper und bekannte Bugs
Windows 11 24H2: Böse Probleme nach dem Upgrade
Windows 11 24H2: Aktivierung beim Upgrade verloren?
Windows: DirectAccess abgekündigt; Always On VPN empfohlen
Windows 11 24H2: Probleme mit VPN-Verbindungen, Direct Access …
Windows 11 24H2: Recall nicht deinstallierbar …
Probleme mit Windows 11 24H2/Windows Server 2025
Windows 11 24H2: Achtung, Kiosk-Mode wohl kaputt
Anzeige
noch etwas funktioniert in 24H2 nicht ordentlich, sfc siehe https://www.zdnet.de/88418630/windows-11-24h2-probleme-mit-dem-system-file-checker/
Ist bereits im Beitrag Windows 11 24H2: Böse Probleme nach dem Upgrade angesprochen.
Achja dieses kleine neue StartUp Unternehmen namens Microsoft… bekommen nichts auf die Reihe, fast jedes Update irgendwas mit booten, Netzwerk, VPN, Drucken, oder ähnliches was Probleme macht, aber wer braucht sowas schon in modernen Umgebung wo vieles online läuft. PC der nicht bootet oder kein Netzwerk hat, ist immerhin sicher vor Cyberatacken.
Wen wundert es da, wenn viele lieber bei Windows 7 usw. bleiben, also diese ständigen Probleme unter 10 und 11, weil irgendein Fix nicht klappt, Update zurückgezogen werden muss usw., obwohl man dieses ja angeblich alles vorab testest.
Konzentrieren sich wohl eher nur auf Azure, Cloud, Recall usw. was meisten weder wollen noch brauchen, und wie man gegen den Willen dem Kunden noch ganze ins Betriebssystem bringen kann.
Irgendwann nur noch Login möglich mit Gamepass und M365 Abo? Oder booten nur noch per Stick und alles aus Cloud gestreamt wird was man "lokal" machen möchte?
Der Palo Alto VPN-Client im SSL Modus funktioniert auch nach dem Update auf 24H2 noch.
Mit Sophos VPN, sowohl IPSec als auch OpenVPN, keinerlei Probleme mit dem Windows 11 24H2 Update. Mit einem Notebook habe ich auch mal eine Wireguard VPN zu meiner Home FritzBox eingerichtet und habe auch da keinerlei Probleme.
Wir nutzen AlwaysOn VPN und haben auch da keine Probleme.
Noch ein böses Problem mit 24H2:
Recall ist fest ins Betriebssystem integriert, der Windows Explorer benötigt zwingend ein installiertes Recall.
Deinstalliert man Recall kommt es zu merkwürdigen Effekten und Fehlern im Windows Explorer.
Recall ist zwar per Default deaktiviert, aber:
Mit einem installierten Recall darf 24H2 nicht in deutschen Unternehmen eingesetzt werden, auch wenn Recall deaktiviert ist.
Denn das ist eine nicht erlaubte Überwachungssoftware.
Eine Ausnahme gibts nur, wenn der Betriebsrat für einzelne Rechner und zeitlich begrenzt zustimmt.
Recall könnte auch illegalerweise per Gruppenrichtlinie unbemerkt von den Benutzern unternehmensweit aktiviert werden, z.B. wenn eine neugierige Person in einer Führungsposition wissen will, was die Mitarbeiter da so am PC machen.
Man sollte also die Finger von 24H2 lassen, auch privat!
Ich verlinke mal auf den Beitrag Windows 11 24H2: Recall nicht deinstallierbar … – samt dem Beitrag "Recall für Arme", was noch kaum jemand auf dem Radar hat …
Ich mag Recall auch nicht, aber ich würde gerne mal die gesetzliche Grundlage für deine Behauptung sehen, dass die Version 24H2 in deutschen Unternehmen nicht installiert werden darf. Kannst du mir dazu Links geben?
Außerdem nervt es einfach, immer wieder auf irgendwelche anderen Probleme hinzuweisen, die mit dem Artikel überhaupt nichts zu tun haben. Vor allem, weil man dazu sowieso schon einen Beitrag hier gelesen hat. Dass Herr Born das auch noch mit seinem Kommentar unterstützt und nicht nach den rechtlichen Grundlagen der Behauptung fragt, macht es auch nicht besser….
Schau mal in das Bundesdatenschutzgesetz nach den Punkten Mitarbeiterüberwachung. Dann müsste das Minenfeld bereits klar werden.
Der zweite Stiefel ergibt sich aus der DSGVO, wenn durch Recall persönliche Daten verarbeitet werden. Kann man zwar mit "berechtigtem Interesse" und "Auftragsverarbeitungsvertrag" irgendwie abfangen. Aber setzt Du dich als Datenschutzverantwortlicher auf den Schlitten "was ich heute an Zusicherungen durch Microsoft geprüft habe, gilt für die kommenden 20 Jahre"?
Ich bin der Meinung: Entweder der Datenschutz wird in den kommenden Jahren "geschleift bzw. verkommt zum Papiertiger", oder es wird für Unternehmen sehr schmerzhaft. Da haben die meisten Leute die Implikationen nicht wirklich im Blick, und wenn die DSK da den Finger in die Wunde legt, wird abgewiegelt bzw. relativiert.
Wir haben mit Recall eine einzelne Anwendung. Gestern oder vorgestern habe ich eine Werbung "KI für deine Arztpraxis" gelesen – Arztbriefe, Abrechnungen, Diagnosen sollen automatisch durchgemangelt werden – sei DSGVO-konform, Server stünden in Europa, wurde versprochen (ob es einem genauen Blick standhält?), Adobe schiebt seine AI-Funktionen kräftig in Produkte – der Adobe (PDF-)Reader ist überall im Einsatz und soll in den Edge-Browser integriert werden.
Gibst Du mir Brief und Siegel, dass das alles in drei, fünf oder zehn Jahren DSGVO-mäßig, in Bezug auf Arbeitnehmerüberwachung, in Bezug auf Sicherheit und Vertraulichkeit etc. weiterhin in trockenen Tüchern ist?
Mein Eindruck: Da spielen viele Leute momentan am Deckel der Büchse der Pandora, ohne das überhaupt zu erkennen. Und dann wird nach "gesetzlichen Grundlagen gefragt" ;-).
Ich habe die Nacht ja ein schönes Beispiel im Artikel Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle? gebracht, welches zeigt, in welche Klemme die Leute laufen, wenn Entscheidungen am grünen Tisch getroffen werden.
Das beantwortet leider immer noch nicht meine Frage nach der rechtlichen Grundlage, dass allein die Installation des 24H2 Updates in Deutschland verboten sein soll. Auch nicht, wenn man sich die von Dir dazu zitierten "Grundlagen" anschaut. Wenn das Update mit deaktiviertem Recall läuft und man das mit einem ordentlichen Dokumentationssystem oder ISMS nachweisen kann, dann ist die Installation völlig legitim und man läuft definitiv nicht in ein Problem mit Mitarbeiterüberwachung oder ähnlichem. Andere Behauptungen sind einfach nur polemische Falschmeldungen.
Verboten ist erst einmal nichts. Im gewerblichen Umfeld läufst Du aber in das Risiko, dass da ganz fix ein DSGVO-Verstoß draus wird.
Feedback aus einer Facebook-Gruppe: "Ich habe mit mehreren VPN Verbindungen seit ca 2 Wochen Probleme. W11 client Verbindung zu Draytek 2850 Routern. Verbindung wird aufgebaut, Router lässt sich ganz normal anpingen und seine Verwaltungsseite im Browser öffnen. Verbindung zu Windows10 PCs im Netzwerk schlägt fehl. Ping durch den VPN auf diese PCs läuft genau 1x und dann nicht wieder bis zum Neuaufbau dieser VPN Verbindung. Hat jemand eine Idee?"
Ich kann die Probleme mit VPN bestätigen. Mit 24H2 kann ich nicht mehr über VPN (egal ob Roadwarrior oder site-to-site VPN) auf eine bestimmten Freigabe auf der anderen Tunnelseite zugreifen. Mit 23H2 klappt es einwandfrei. Und ich hab's mit IPSEC und OpenVPN probiert. Hänge ich den Laptop direkt ins LAN der Freigabe, klappt der Zugriff einwandfrei. Es kann also nicht etwas mit dem neu erforderlichem SMB signing zu tun haben. Mit Windows 10 klappt der Remote-Zugriff einwandfrei, ebenso mit Windows 11 bis 23H2. Nur mit Windows 11 24H2 dann nicht mehr.
Stehe vor dem selben Problem mit Wireguard.
Möglicherweise beruht folgendes Problem auf dem selben Fehler in 24H2:
Eine Verbindung zu SMBv1 Laufwerken per IP-Adresse ist nicht mehr möglich. Seltsamerweise funktioniert es mit dem domain Namen.
\\IP\netsharename funktioniert nicht mehr
\\host.domain.tld\netsharename funktioniert
PS: Ja ich weiß, SMBv1 sollte ich nicht mehr nutzen…
Aktuelle Version: 24H2 (26100.2033)
WireGuard, bzw. Clients die mit WireGuard umgehen können, bauen keine Verbindung auf. WireGuard selber sagt, die Verbindung bestehe, es kommen aber keine Daten rein, TuneSafe wirft nur "Retrying handshake" aus…
Irgendwelche Updates machen die Nutzung unbrauchbar… Vor irgendwelchen Updates funktionierte WireGuard in Sachen Aufbau ohne Probleme…
"It's not a bug, it's a Windows (11, 24H2)"
Ich verwende die VPN-Anbieter im Windows (die werden durch die Apps "Check Point Capsule VPN" und "FortiClient" aus dem MS Appstore installiert), d.h. wenn ich eine neue VPN Verbindung über den Windows Dialog hinzufüge, kann ich Windows (integriert), Checkpoint und Fortigate auswählen. Die Verbindungen funktionieren auch ohne Probleme, allerdings gibt es in etwa 90% der Fälle/Verbindungen (ich habe noch nicht herausgefunden woran es liegt, machmal funktioniert eine Verbindung stundenlang ohne Probleme, machmal nicht) das Problem, das die IP Pakete (obwohl die Routing-Tabelle richtig ist) einfach ins Internet geschickt werden und nicht über das VPN-Interface (zumindest lt. Tracert)
Ich hoff mal das wird einigermaßen zeitnah gefixt.
Ach ja ich bin auf der 24H2 LTSC Version (keine Ahnung, ob das einen Unterschied macht, bevor 25Hx herauskommt)
Hier eine Lösung für WG VPN in Verbindung mit Unifi
In der VPN Config am Client die Zeile bei AllowedIPs durch diesen Eintrag ersetzen.
AllowedIPs = 0.0.0.0/0
https://community.ui.com/questions/UDM-Pro-Max-WireGuard-Server-Client-Cannot-Connect-with-WireGuard-0-5-3-and-Windows-24H2/fe501775-3eab-4435-acf4-611ef6870f64?page=1