VPN не подключается Windows 10: Amnezia после Wi-Fi адаптера

VPN не подключается на Windows 10 после замены Wi‑Fi адаптера — чаще всего причина в драйверах виртуальных адаптеров (TAP/Wintun), в фильтрующих NDIS/WFP‑драйверах или в битых сетевых биндингах; Amnezia VPN не подключается и встроенные VPN в браузерах застревают в «подключение», потому что клиент не завершает TLS/IK E рукопожатие. Начните с проверки наличия и состояния виртуального адаптера, журналов RasClient и захвата трафика (Wireshark) — это быстро покажет, отправляются ли пакеты рукопожатия; если нет — ищите проблему на уровне драйвера/стека, если да — смотрите маршруты, MTU и DNS.

Содержание

• Быстрый диагноз: вероятные причины
• Что проверить в Windows 10 (TAP/Wintun, виртуальные адаптеры, службы)
• Команды и логи, которые нужно собрать для диагностики
• Как проверить, блокирует ли сетевой стек или драйвер подключение (Wireshark и сигналы)
• MTU, DNS и маршруты: влияние и проверка
• Пошаговая инструкция по диагностике и исправлению (от простого к сложному)
• Контрольный список и шаблоны для публикации в сообществе / техподдержке
• Источники
• Заключение

Быстрый диагноз: вероятные причины

Если VPN работал до замены адаптера, а теперь ни Amnezia, ни встроенные VPN в браузерах не завершают подключение, но на телефоне с теми же настройками всё ок — это сильный сигнал, что проблема локальная для ПК, не для серверной стороны. Что обычно виновато?

• Драйверы виртуального адаптера (TAP/Wintun) либо не установлены/повреждены, либо не привязаны к сетевому стеку.
• Фильтрующие NDIS/WFP‑драйверы (сетевые фильтры от производителей адаптера, VPN‑клиентов или старого ПО) мешают прохождению пакетов VPN‑рукопожатия.
• Портовые/протокольные блокировки или неправильные маршруты/метрики — но вы пробовали разные сети (Wi‑Fi, кабель, мобильный интернет), и поведение одинаковое, значит маловероятно блокировка на уровне провайдера.
• MTU/фрагментация или некорректный DNS/маршруты могут «висеть» на стадии рукопожатия.
• Редко: проблемы с подписанными драйверами (driver signature) или конфликт старых/скрытых адаптеров в системе, которые остаются даже после переустановки.

Итак, план: сначала проверить, посылает ли клиент вообще пакеты; затем — состояние виртуальных адаптеров и фильтров; потом — маршруты/MTU/DNS и, при необходимости, радикальные сбросы стека и переустановка драйверов.

Amnezia VPN не подключается и встроенные VPN в браузерах: что проверить в Windows 10

1. Device Manager — показать скрытые устройства.

• Откройте devmgmt.msc → View → Show hidden devices.
• Проверьте Network adapters: должны быть TAP‑адаптеры (TAP‑Windows Adapter V9) или Wintun/Virtual adapter, а также WAN Miniport (IKEv2, SSTP, L2TP, PPTP). Если их нет — клиент не создаёт туннель.

2. Наличие и статус TAP/Wintun.

• Для современных клиентов чаще используется Wintun (WireGuard/Wintun). Посмотрите репозиторий для диагностики: https://github.com/WireGuard/wintun.
• Для OpenVPN‑вроде клиентов — TAP: https://openvpn.net/community-resources/tap-windows/.
• В Device Manager драйвер должен быть без ошибки; при жёлтом восклицании — правой кнопкой → Properties → Driver details, посмотреть wintun.sys/tap.sys.

3. Сетевые биндинги и фильтры.

• Запустите PowerShell и выполните:
• Get-NetAdapter -IncludeHidden | Format-Table Name,Status,InterfaceDescription
• Get-NetAdapterBinding -Name ‘*’ | Where-Object {$.DisplayName -like “Client” -or $.DisplayName -like “Filter”}
• Ищите неизвестные или отключённые протоколы/фильтры; отключите подозрительные, перезапустите систему.

4. Службы Windows для VPN.

• Проверьте, запущены ли: Remote Access Connection Manager (RasMan), IKE and AuthIP IPsec Keying Modules (IKEEXT).
• Команды: sc query RasMan; sc query IKEEXT. Если они в ошибке — смотрите System и Application логи.

5. Скрытые старые адаптеры/дважды установленные WAN Miniport.

• В Device Manager удалите старые «ghost»‑адаптеры (правый клик → Uninstall device, при запросе — удалить драйвер).
• Иногда помогает полное удаление всех WAN Miniport и автоматическая их переустановка после «network reset».

6. Отладка в Amnezia / браузере.

• Включите подробный лог в Amnezia (в настройках клиента или через параметр запуска). Ищите сообщения про «tap», «wintun», «failed to open device», «permission denied».
• Для браузерного VPN проверьте расширения, а также прокси‑настройки Windows — иногда расширения используют локальный прокси, и он не стартует.

Команды и логи, которые нужно собрать для диагностики

Соберите эти команды и прикрепите выводы (редактируйте личные/парольные данные):

Общие (в cmd от имени администратора):

• ipconfig /all
• route print
• netstat -anob (показывает процессы на портах; требует elevation)
• nslookup your.vpn.server.domain
• ping -n 5
• tracert -d
• netsh interface ipv4 show interfaces
• netsh interface ipv4 show config
• netsh winsock show catalog

PowerShell (админ):

• Get-NetAdapter -IncludeHidden | Format-List *
• Get-NetIPInterface | Format-Table -AutoSize
• Get-NetAdapterBinding -Name (используйте имя адаптера)
• Get-Service RasMan, IKEEXT

Сбор логов событий:

• wevtutil qe Microsoft-Windows-RasClient/Operational /c:50 /f:text > %USERPROFILE%\Desktop\rasclient.txt
• wevtutil qe System /c:200 /f:text > %USERPROFILE%\Desktop\system_events.txt

VPN‑клиент:

• Соберите логи Amnezia: в %APPDATA% или %LOCALAPPDATA% и в папке ProgramData/Program Files (путь зависит от клиента). Включите verbose/diagnostic level и повторите попытку подключения.

Wireshark:

• Сделайте захват на физическом интерфейсе и на виртуальном (TAP/Wintun). Фильтры для быстрой оценки:
• OpenVPN: udp.port==1194 || tcp.port==1194
• WireGuard: udp.port==51820
• IPsec/IKE: udp.port==500 || udp.port==4500
• Общий: ip.addr==

Автоматизированный скрипт для сбора (PowerShell, запустить от Admin и потом архивировать результаты):

$Out="$env:USERPROFILE\Desktop\vpn-diagnostics"
New-Item -Path $Out -ItemType Directory -Force | Out-Null
ipconfig /all > "$Out\ipconfig.txt"
route print > "$Out\route.txt"
netstat -anob > "$Out\netstat.txt"
driverquery /v > "$Out\driverquery.txt"
pnputil /enum-drivers > "$Out\pnputil.txt"
netsh winsock show catalog > "$Out\winsock.txt"
Get-NetAdapter -IncludeHidden | Format-List * > "$Out\netadapter.txt"
Get-NetIPInterface | Format-Table -AutoSize > "$Out\netip.txt"
Get-NetAdapter | ForEach-Object { Get-NetAdapterBinding -Name $_.Name } > "$Out\netbindings.txt"
wevtutil qe Microsoft-Windows-RasClient/Operational /c:200 /f:text > "$Out\rasclient.txt"
wevtutil qe System /c:200 /f:text > "$Out\system.txt"
Compress-Archive -Path $Out* -DestinationPath "$env:USERPROFILE\Desktop\vpn-diagnostics.zip" -Force
Write-Output "Diagnostics saved to $env:USERPROFILE\Desktop\vpn-diagnostics.zip"

Что искать в логах:

• В RasClient: коды ошибок 789, 809, 720 и сообщения о timeouts или отказах аутентификации.
• В логах клиента: ошибки открытия TAP/Wintun, отказ установки драйвера, permissions.
• В Wireshark: нет исходящих пакетов на сервер → проблема на клиенте/драйвере; пакеты идут, но нет ответа → сеть/маршрут/блокировка; ответ есть, но TLS/IKE не развёртывается → MTU/фрагментация/шифрование.

Как проверить, блокирует ли сетевой стек или драйвер подключение (Wireshark и сигналы)

1. Захват трафика.

• Запустите Wireshark на физическом интерфейсе и на виртуальном (если виртуального нет — уже подсказка). Начните захват ДО того, как нажмёте «Подключить».
• Запустите подключение и останавливайте захват через 30–60 s.

2. Что позволит понять захват:

• Если на физическом интерфейсе нет исходящих пакетов к VPN‑серверу — клиент не отправляет. Смотрите логи клиента и статус виртуального адаптера.
• Если есть исходящие пакеты, но на них нет ответов — проблема маршрута/провайдера/блокировки. Проверьте Test‑NetConnection и tracert.
• Если есть ответ, но далее нет продолжения TLS/IKE handshakes — возможно MTU/фрагментация или проблемы на стороне сервера с конкретным шифрованием.

3. Фильтры Wireshark (примеры):

• ip.addr==<VPN_IP>
• udp.port == 1194 || tcp.port == 1194
• udp.port==500 || udp.port==4500 (IPsec)
• ssl.handshake.type == 1 && ip.addr==<VPN_IP> (проверка клиентского Client Hello)

4. Проверка наличия фильтрующих драйверов (NDIS/WFP).

• Поиск по драйверам: driverquery /v | findstr /i “tap wintun npf npc”
• pnputil /enum-drivers — посмотрите, какие сетевые драйверы установлены (производитель адаптера мог добавить фильтр).
• В PowerShell: Get-NetAdapterBinding -Name ‘*’ — отключите сомнительные binding’и (вручную через GUI или cmdlet).

5. Simple test: если Wireshark показывает, что клиент вообще не отправляет пакеты — попробуйте временно сменить NIC (USB Ethernet) и проверить снова. Если с новым интерфейсом всё работает — аппаратный или драйверный конфликт.

Полезная инструкция по захвату пакетов: https://www.wireshark.org/docs/wsug_html_chunked/ChCapInterface.html.

MTU, DNS и маршруты: могут ли они вызывать вечное «подключение» и как это проверить

MTU и фрагментация часто мешают UDP‑основанным VPN (OpenVPN, WireGuard) на стадии TLS/handshake, особенно если на пути отбрасывается фрагментированный UDP.

Проверка MTU:

• Узнать максимально проходящий размер: ping -f -l 1472
  (1472 = 1500 − 28; если фрагментация происходит — уменьшайте размер, пока не пройдут пакеты).
• Временно снизить MTU на интерфейсе:
• netsh interface ipv4 set subinterface “Ethernet” mtu=1400 store=persistent
• Для Wi‑Fi замените “Ethernet” на имя интерфейса из netsh interface ipv4 show interfaces.
• После снижения MTU повторите попытку подключения.

Проверка DNS:

• nslookup — убедитесь, что имя резолвится в правильный IP.
• Подключайтесь по IP (если можно) — исключите проблему DNS.

Проверка маршрутов:

• route print — найдите маршрут на IP VPN‑сервера; убедитесь, что он идёт через корректный интерфейс.
• Если для IP сервера создан неправильный маршрут (возможно осталось от старых настроек), удалите его: route delete .

Split tunneling и метрики:

• Проверьте метрики интерфейсов: Get-NetIPInterface | Format-Table InterfaceIndex,InterfaceAlias,AddressFamily,InterfaceMetric
• При необходимости задайте меньший metric для нужного интерфейса: Set-NetIPInterface -InterfaceIndex -InterfaceMetric 5

Пошаговая инструкция по диагностике и исправлению (от простого к сложному)

1. Быстрая проверка (5–15 мин)

• Перезагрузите ПК. Проверьте текущее время и дату. Запустите VPN-клиент от имени администратора.
• ipconfig /all; убедитесь, что виртуальный адаптер появляется при попытке подключения (если появляется — смотрите, получает ли он IP).
• Test-NetConnection -ComputerName -Port (проверка доступности порта).

2. Легкий ремонт стека (15–30 мин)

• netsh winsock reset
• netsh int ip reset
• ipconfig /flushdns
• Перезагрузка.
  Если не помогло, идём дальше.

3. Проверка драйверов и скрытых устройств (30–60 мин)

• devmgmt.msc → View → Show hidden devices → удалите старые TAP/TUN и лишние WAN Miniport. При удалении — выберите «удалить драйвер».
• Переустановите VPN‑клиент как администратор; внимательно посмотрите, устанавливает ли он TAP/Wintun и без ошибок.
• Если драйвер не устанавливается автоматически — вручную установите пакет драйвера (pnputil /add-driver oem*.inf /install).

4. Более сильный сброс (радикально, 15–30 мин + драйверы)

• netcfg -d (сброс сетевых компонентов — удаляет все сетевые адаптеры; после перезагрузки нужно будет переустановить драйверы для Wi‑Fi/Ethernet)
• После перезагрузки установите драйверы чипсета и сетевых адаптеров с сайта производителя (важно).

5. Отключение аппаратных offload‑ов (10–15 мин)

• Device Manager → сетевой адаптер → Properties → Advanced → отключите: Large Send Offload, Checksum Offload, Receive Side Scaling, EEE, Jumbo Frames. Перезагрузка.

6. Диагностика с помощью Wireshark (30–60 мин)

• Захватите трафик при попытке подключения. Анализируйте по шагам (см. выше). Это покажет, идёт ли handshake.

7. Тест на другой ОС/адаптер (30–60 мин)

• Загрузитесь с Live‑USB Linux и попробуйте подключиться (если клиент для Linux имеется или используйте OpenVPN/WireGuard).
• Или подключите внешний USB‑Ethernet/USB‑Wi‑Fi и проверьте — если работает, это аппаратный/драйверный конфликт текущего NIC.

8. Если ничего не помогает — соберите все логи (см. раздел «Команды и логи») и отправьте технической поддержке Amnezia или на профильный форум. Вкл. RasClient события и Wireshark pcap.

Контрольный список и шаблоны для публикации в сообществе / техподдержке

Что прикрепить при запросе помощи (анонимизируйте персональные данные):

• Вывод ipconfig /all
• route print
• Кусок netstat -anob (показывающий попытку соединения с IP сервера)
• Результат wevtutil qe Microsoft-Windows-RasClient/Operational (последние 20 строк)
• Логи Amnezia (папка %APPDATA% или ProgramData) с уровнем debug/verbose
• Wireshark pcap (файл): лучше выделять трафик только между клиентом и сервером (фильтр ip.addr==<server_ip>)
• Краткое описание: «После замены Wi‑Fi адаптера X, Windows переустановлена, пробовал Wi‑Fi/кабель/мобильный интернет — всё одинаково».

Пример краткого поста в техподдержку:

• Заголовок: «Amnezia: бесконечное подключение на Windows 10 после смены Wi‑Fi адаптера — пакеты не уходят»
• Тело: краткая хронология, OS build (Settings → About), модель/драйвер нового адаптера, выводы ipconfig/route + приложенные логи и pcap.

Источники

1. Wintun (репозиторий): https://github.com/WireGuard/wintun
2. TAP‑Windows (OpenVPN): https://openvpn.net/community-resources/tap-windows/
3. Руководство по захвату трафика (Wireshark): https://www.wireshark.org/docs/wsug_html_chunked/ChCapInterface.html
4. Общая справка по диагностике VPN (Microsoft): https://learn.microsoft.com/en-us/troubleshoot/windows-server/remote/troubleshoot-vpn-connection-issues
5. Yandex Wordstat (ключевые запросы для темы): https://wordstat.yandex.ru/

Заключение

Коротко: если vpn не подключается на Windows 10 после замены адаптера, сначала выясните — отправляет ли клиент пакеты (Wireshark) и виден ли виртуальный адаптер (Device Manager, ipconfig). Чаще всего проблема в TAP/Wintun или в фильтрующих NDIS‑драйверах; решается переустановкой/удалением старых драйверов, netsh/netcfg‑сбросами и, при необходимости, отключением offload‑опций или заменой адаптера для теста. Соберите ipconfig/route/netstat, RasClient‑логи и pcap захват — и, если нужна помощь, выкладывайте их (с редактированием приватных данных) — по ним легче локализовать причину.