Ошибка 809 ikev2 windows 10

Error 809 is a VPN error usually occurs when a firewall blocks the VPN ports between the user and the server. If your VPN connection fails, here are the steps to fix it.

It’s very common for VPN connections to experience some problems along the road. If you’re using Windows and a VPN together, you may face VPN error 809.

A common reason is that when Windows doesn’t allow you to establish a VPN connection through the firewall, this error might appear if you don’t use a firewall but on a NAT device.

Network Address Translation (NAT) is meant for IP address conservation. It lets private IP networks with unregistered IP addresses connect to the internet. NAT normally operates on a router, connecting two or more networks, and alters the unregistered network into legal addresses.

The error message looks something like this:

How to fix VPN Error 809?

«The network connection between your computer and the VPN server could not be established.»

Here are the ways how to fix VPN error 809 on Windows 10:

1. Enable the ports on your firewall/router
2. Add value to the Windows registry
3. Disable Xbox Live Networking services
4. Enable IKEv2 fragmentation

1. Enable the ports on your firewall/router

Usually, the VPN error 809 is caused by a firewall or router blocking the PPTP port (TCP 1723) or port L2TP or IKEv2 port (UDP ports 500 and 4500). Since VPN Surf runs on IKEv2 protocol, this might be a reason you will face this error.

To learn more about VPN protocols, have a quick read to get acquainted with them.

 The solution is pretty simple! Simply enable the ports on the firewall or your router.

2. Add value to the Windows registry

When establishing your VPN connection, if your MX is placed behind a NAT, you must add the «AssumeUDPEncapsulationContextOnSendRule» DWORD value to the Windows registry.

This lets Windows OS establish a secure connection when your VPN’s server and the computer client are behind NAT devices. Here’s how:

• Login to Windows with admin access
• Type ‘Run’ on the search bar and click on the application

• Type «regedit» and click on ‘OK’

• Now in the open Window, find this path: HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > PolicyAgent

**The full path cannot be seen in the below picture

• Once you get to the path Right, click and create a new ‘DWORD (32-bit) Value‘

• Change the Value name to «AssumeUDPEncapsulationContextOnSendRule»
• Change the new entry and change Value Data from «0» to «2 «
• Click ‘OK’

 

• Reboot the computer and test the connection.

Note: This is a perfect solution when your VPN server and the computer client are behind NAT devices.

3. Disable Xbox Live Networking services

A Windows 10 service may block access to the L2TP/IPsec VPN, so to resolve this and prevent seeing error 809, you can do this:

• Type «services» in the search box and click on ‘Services’

• Find ‘Xbox Live Networking Services’ and double-click on it
• On the drop-down menu of ‘startup type’ select «Disabled»
• Click «Apply» and click on ‘OK’

• Check if your VPN connection works!

4.   Enable IKEv2 Fragmentation

VPN error 809 can occur due to the IKE fragmentation while using the IKEv2 VPN protocol. What happens is quite technical; however, let me break it down into a simple explanation.

During the IKEv2 connection between the client and the server, the packet size may exceed the IP Maximum Transmission Unit. This results in the packets being fragmented. Due to the fragmentation, intermediary devices like routers, NAT devices, or firewalls will sometimes block IP fragments.

Hence the VPN connection will not be established. Even though it sounds complicated, what you must do to overcome this error is simple!

Solution: Update your Windows 10 devices to the latest version. IKEv2 fragmentation was introduced in Windows 10 1803 and is enabled by default.

Conclusion

By now, your VPN should work without getting any errors. VPN Surf uses the IKEv2 protocol for our VPNs which secures your data and provides the anonymity you need. It’s right there for the taking, just a click away.

Frequently Asked Questions

1. What does error 809 mean?

The error code 809 indicates that the VPN failed to react, which denotes a timeout. Although network connectivity is frequently the direct source of this, other elements may play a role occasionally.

2. Where are the 809 prefixes located?

Area codes 809, 829, and 849 are the North American Numbering Plan (NANP) telephone area codes for the Dominican Republic.

3. What time zone is area code 809?

The time zone in the Dominican Republic is Atlantic Standard Time. This means there are no Daylight Saving Time clock changes during the year.

4. What failed to cause the error code to return on failure is 809?

Your machine and the VPN server could not establish a network connection because the distant server is not responding. One of the network devices (firewall, NAT, router, etc.) separating your computer from the distant server is not set up to support VPN connections.

5. How do I fix a VPN error 800?

1. Turn off your Firewall
2. Verify your VPN’s IP address, name, and password again.
3. Remove the DNS cache
4. Try resetting Winsock
5. Try Network Troubleshooter
6. Run antivirus against possible malware
7. Download the VPN software again
8. Check together with your ISP

Содержание

• В чём причина ошибки 809?
• Для начала
• Порты брандмауэра
• Новое правило для реестра
• Изменение настроек шифрования через реестр
• Отключение сторонних сервисов
• Если всё ещё возвращает ошибку 809
  • 1. Обновите «операционку»
  • 2. Удалите VPN-приложения вместе с настройками
  • 3. Очистите устройство от «файлового мусора»

Иногда случается, что пользователь, пытающийся подключиться к VPN-серверу, получает ошибку с кодом 809. Например, такая проблема может возникнуть у абонентов билайна, так как провайдер предоставляет доступ в интернет по технологии L2TP, то есть через ВПН-туннель.

Рассказываем в статье, что делать в такой ситуации.

В чём причина ошибки 809?

Чаще всего проблема на стороне пользователя: его компьютера и ОС Windows.

Сбой может быть из-за того, что один из компонентов ОС или устройство между ПК и сервером не имеет разрешения на подключение к VPN. Один из таких компонентов — NAT (Network Address Translation), отвечающий за преобразование IP-адресов во внутренние и внешние. Другая вероятная причина — настройки брандмауэра. И таких «виновников» может быть немало.

Но обо всём по порядку.

Для начала

Встроенный защитник Windows — одна из самых частых причин сбоев в работе интернета. А если учесть, что по дефолту в брандмауэре не настроена корректная работа с VPN-соединениями, то стоит начать с него.

1. Запустите «Панель управления».

1. Перейдите в раздел «Система и безопасность».

1. Нажмите на строчку «Брандмауэр Защитника Windows».

1. В левом меню найдите интерактивную надпись «Включение и отключение брандмауэра…» и нажмите на неё.

1. В открывшемся окне проставьте маркеры напротив всех опций, связанных с отключением брандмауэра, и подтвердите изменения.

Попробуйте подключиться к интернету или VPN-серверу снова. Если соединение не заработало, то переходите к инструкции «Новое правило для реестра» и следующим. Если же доступ в интернет появился, то включите брандмауэр и следуйте гайдам в предложенной последовательности.

Примечание: инструкции актуальны для Windows 7, 8 и 10. Команды, пути, названия и т. п. вводятся без кавычек.

Порты брандмауэра

Если у вас домашний интернет билайн по протоколу L2TP, то с высокой долей вероятности открытие портов 1701, 500, 1460, 4500 решит проблему.

1. Запустите «Панель управления».
2. Перейдите в раздел «Система и безопасность».
3. Перейдите в подраздел «Брандмауэр Защитника Windows».
4. В левом меню кликните по интерактивной строке «Дополнительные параметры».

1. Нажмите правой кнопкой мыши на строчку «Правила для входящих подключений».
2. Нажмите ЛКМ по опции «Создать правило» в появившемся контекстном меню.

1. Экран «Тип правила»: поставьте маркер напротив опции «Для порта» и нажмите «Далее».

1. Экран «Протоколы и порты»: поставьте маркер напротив опции «Протокол UDP» и «Определённые локальные порты». В строке введите «1701, 500, 1460, 4500», нажмите «Далее».

1. Экран «Действие»: отметьте маркером опцию «Разрешить подключение», нажмите «Далее».

1. Экран «Профиль»: отметьте галочками все опции и снова нажмите «Далее».

1. Экран «Имя»: назовите правило. В качестве имени можно использовать, например, «Интернет билайн».

1. Нажмите «Готово» и повторите шаги № 5–11, но для исходящих подключений.

Попробуйте подключиться к интернету. Если соединение работает, то всё сделано верно. Если нет, то повторите действия с одним изменением: на шаге № 8 выберите не UDP, а TCP.

Новое правило для реестра

1. Нажмите Win + R и в появившемся окне пропишите команду regedit.

1. Вставьте в адресную строку путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent.

1. Нажмите на кнопку «Правка».
2. Поочерёдно выберите «Создать» и «Параметр DWORD (32 бита)». Созданному сеттингу присвойте название AssumeUDPEncapsulationContextOnSendRule.

1. Дважды кликните по параметру левой кнопкой мыши.
2. В строке «Значение» напишите цифру 2.

1. Сохраните новые параметры и перезагрузите устройство.

Изменение настроек шифрования через реестр

1. Повторите 1-й шаг из предыдущей инструкции.
2. Вставьте в адресную строку путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters.

1. Найдите параметр AllowL2TPWeakCrypto, дважды кликните по нему ЛКМ, пропишите в поле значение «1» и подтвердите изменения.

1. Найдите строку ProhibitIPSec, дважды кликните по ней, укажите в поле значение «0» и сохраните.
2. Перезагрузите компьютер.

Если сбой не был устранён, то снова откройте AllowL2TPWeakCrypto, пропишите «0» и перезапустите компьютер.

Отключение сторонних сервисов

С Windows 8 и 10 «виновником» может стать интегрированный сервис Xbox Live — стоит попробовать его отключить. Для этого:

1. нажмите Win + R;
2. впишите команду services.msc;

1. найдите строку «Сетевая служба Xbox Live» и кликните по ней правой кнопкой мыши;
2. во вкладке «Общие» найдите параметр «Тип запуска», вызовите dropdown-меню и выберите опцию «Отключена».

Если всё ещё возвращает ошибку 809

1. Обновите операционную систему

Инструкция для Windows 10

1. Откройте меню «Пуск».

2. Найдите шестерёнку и нажмите на неё.

1. Перейдите в подраздел «Обновление и безопасность».

1. Откроется «Центр обновления Windows» — кликните по кнопке «Проверить наличие обновлений».

1. Если система найдёт патч, то появится соответствующий блок. Нажмите на кнопку «Загрузить и установить», расположенную под ним.

Инструкция для Windows 7

1. Запустите «Панель управления».
2. Перейдите в подраздел «Центр обновления Windows».
3. Проверьте, есть ли обновления. По умолчанию они загружаются автоматически. Если да — нажмите «Установить».

2. Удалите VPN-приложения вместе с настройками

Если вы устанавливали какие-либо приложения, работающие с VPN, то попробуйте избавиться от них. Важно провести полное удаление.

1. Запустите «Панель управления».
2. Откройте раздел «Программы» / «Установка и удаление программ».
3. Найдите в списке программу, которую хотите деинсталлировать, и выделите её.
4. В меню над блоком с приложениями станет активной кнопка «Удалить» — нажмите на неё и следуйте инструкциям. Если деинсталлятор предложит удалить настройки программы — согласитесь.
5. Перезагрузите ПК.

3. Очистите устройство от «файлового мусора»

Этот способ лучше всего применять вкупе с предыдущим: «файловый мусор» может остаться даже после удаления приложения средствами ОС. Для очистки ПК от ненужных файлов воспользуйтесь специальной утилитой. Например, CCleaner.

Но рекомендуем очень внимательно отнестись к настройке параметров удаления. Иначе вместе с ненужными файлами вы можете очистить сохранённые учётные данные ПК для авторизации в различных сервисах.

When testing an Always On VPN connection, the administrator may encounter a scenario where the VPN client fails to connect to the VPN server. On the Windows 10 client the error message states the following.

“Can’t connect to [connection name]. The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc.) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.”

In addition, the Application event log records an error message with Event ID 20227 from the RasClient source. The error message states the following.

“The User [username] dialed a connection named [connection name] with has failed. The error code returned on failure is 809.”

Connection Timeout

The error code 809 indicates a VPN timeout, meaning the VPN server failed to respond. Often this is related directly to network connectivity, but sometimes other factors can come in to play.

Troubleshooting VPN Error Code 809

When troubleshooting VPN error code 809 the following items should be carefully checked.

• Name Resolution – Ensure the VPN server’s public hostname resolves to the correct IP address.
• Firewall Configuration – Confirm the edge firewall is configured properly. Inbound TCP port 443 is required for the Secure Socket Tunneling Protocol (SSTP) and inbound UDP ports 500 and 4500 are required for the Internet Key Exchange version 2 (IKEv2) protocol. Make sure that any NAT rules are forwarding traffic to the correct server.
• Load Balancer Configuration – If VPN servers are located behind a load balancer, make certain that virtual IP address and ports are configured correctly and that health checks are passing. For IKEv2 specifically, it is crucial that UDP ports 500 and 4500 be delivered to the same backend server. This commonly requires custom configuration. For example, on the KEMP LoadMaster the administrator will configure “port following”. On the F5 BIG-IP a  custom “persistence profile” must be configured. On the Citrix NetScaler a “persistency group” must be defined.

IKEv2 Fragmentation

VPN error code 809 can also be caused by IKE fragmentation when using the IKEv2 VPN protocol. During IKEv2 connection establishment, payload sizes may exceed the IP Maximum Transmission Unit (MTU) for the network path between the client and server. This causes the IP packets to be fragmented. However, it is not uncommon for intermediary devices (routers, NAT devices, or firewalls) to block IP fragments. When this occurs, a VPN connection cannot be established. However, looking at a network trace of the connection attempt, the administrator will see that the connection begins but subsequently fails.

Enable IKEv2 Fragmentation Support

The IKEv2 protocol includes support for fragmenting packets at the IKE layer. This eliminates the need for fragmenting packets at the IP layer. IKEv2 fragmentation must be configured on both the client and server.

Client

IKEv2 fragmentation was introduced in Windows 10 1803 and is enabled by default. No client-side configuration is required.

Server

IKEv2 is commonly supported on many firewall and VPN devices. Consult the vendor’s documentation for configuration guidance. For Windows Server Routing and Remote Access (RRAS) servers, IKEv2 fragmentation was introduced in Windows Server 1803 and is also supported in Windows Server 2019. It is enabled via a registry key. The following PowerShell command can be used to enable IKEv2 fragmentation on supported servers.

New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ikev2\” -Name EnableServerFragmentation -PropertyType DWORD -Value 1 -Force

Validation

Once IKEv2 fragmentation is configured on the VPN server, a network capture will reveal the IKE_SA_INIT packet now includes the IKEV2_FRAGMENTATION_SUPPORTED notification message.

Additional Information

Windows 10 Always On VPN and IKEv2 Fragmentation

Windows 10 Always On VPN IKEv2 Security Configuration

Windows 10 Always On VPN Hands-On Training Classes