Soporte técnico VPN en Windows: cómo solucionar problemas de conexión y configuración

  • La mayoría de errores VPN en Windows se deben a puertos bloqueados, firewall, DNS mal configurados o adaptadores virtuales dañados.
  • Los códigos 800, 806, 809, 812, 13801 y 13806 suelen indicar problemas de certificados, directivas o bloqueo de tráfico a nivel de red.
  • Actualizar cliente, drivers y sistema, revisar protocolos y usar una VPN fiable reduce drásticamente los fallos de conexión.
  • En entornos corporativos, AOVPN y certificados requieren trazas y herramientas específicas para un diagnóstico preciso.
Daniel Terrasa

17 minutos

soporte tecnico vpn en windows

Usar una VPN en Windows es hoy casi un básico tanto para teletrabajo como para navegar más seguro desde redes públicas, pero cuando la conexión falla la experiencia se vuelve un auténtico quebradero de cabeza. Errores de autenticación, mensajes con códigos numéricos incomprensibles o una VPN que conecta pero te deja sin Internet son situaciones mucho más habituales de lo que parece.

En esta guía vas a encontrar un soporte técnico práctico y muy completo para diagnosticar y resolver problemas de conexión y configuración VPN en Windows (incluyendo AOVPN, L2TP/IPsec, SSL, errores típicos 800, 806, 809, 812, 13801, 13806, etc.). Veremos desde lo más básico (perfil, puertos, firewall) hasta problemas de certificados, DNS, adaptadores virtuales TAP, doble VPN o perfiles dañados, con soluciones paso a paso y recomendaciones para dejar la conexión fina y estable.

Conceptos clave de la infraestructura VPN en Windows

Antes de ponerte a tocar ajustes, conviene entender qué piezas entran en juego cuando te conectas a una VPN en Windows. Si conoces la “foto completa” te será mucho más fácil localizar qué está fallando.

En una VPN de acceso remoto típica intervienen al menos estos elementos:

  • Cliente VPN (Windows o app del proveedor).
  • Servidor o concentrador VPN.
  • Firewall/router que controla el tráfico hacia ese servidor.
  • Adaptadores de red (físicos y virtuales).
  • Configuración de protocolos/túneles (L2TP/IPsec, SSTP, IKEv2, SSL, etc.).
  • Servicios como NPS, Active Directory y las infraestructuras de certificados en entornos corporativos.

En el caso específico de Always On VPN (AOVPN) la cosa se complica un poco más, porque la conexión se establece de forma automatizada nada más arrancar Windows. Aquí además entran en juego los perfiles de configuración distribuidos, los scripts de implementación, las directivas de acceso condicional y los certificados de equipo y de servidor que Windows utiliza para negociar IPsec.

La buena noticia es que la mayoría de problemas de conexión se repiten constantemente: puertos bloqueados, certificados no válidos, protocolos mal elegidos, errores en credenciales, DNS mal configurados, drivers de red dañados o firewall demasiado celoso. Sabiendo esto, irás bastante directo al grano.

Soporte técnico VPN en Windows: cómo solucionar problemas de conexión y configuración

Cómo crear correctamente un perfil VPN en Windows 10/11

Muchos errores se arrastran simplemente porque el perfil VPN está mal creado, con datos incorrectos del servidor, el tipo de VPN equivocado o un sistema de autenticación que no cuadra con el lado del servidor.

En Windows, el método estándar para crear un perfil integrado es el siguiente: ve a Inicio > Configuración > Red e Internet > VPN > Agregar una conexión VPN. En “Proveedor de VPN” elige Windows (integrado), escribe un nombre reconocible para la conexión, introduce el nombre de servidor o dirección (sin http, sin barras ni símbolos extraños) y selecciona el tipo de VPN que exija tu empresa o proveedor (por ejemplo, L2TP/IPsec con clave previamente compartida, IKEv2, PPTP, etc.). Si necesitas más detalle sobre cómo crear un perfil, consulta cómo crear un VPN en Windows.

La parte de las credenciales también es crítica: en “Tipo de información de inicio de sesión” selecciona el método correcto (usuario/contraseña, certificado, tarjeta inteligente o contraseña de un solo uso) y rellena usuario y clave si quieres que se guarden, usando un gestor de contraseñas. Si esos datos cambian, tendrás que editarlos después para evitar errores de autenticación.

Una vez guardado el perfil, puedes entrar en “Opciones avanzadas” para tocar parámetros como el uso de la puerta de enlace predeterminada remota, la configuración de proxy, protocolos permitidos o si la conexión se utiliza para todo el tráfico o solo para redes específicas.

Conexión VPN y acceso a Internet: funcionamiento básico

Cuando Windows marca una VPN como “Conectada” significa únicamente que el túnel se ha establecido, no que tengas Internet garantizado. El tráfico puede seguir atascado en cualquier punto: DNS, firewall, rutas, servidor remoto, etc.

Para conectarte manualmente a una VPN que ya tenga perfil creado, pulsa en el icono de Red de la barra de tareas, selecciona el nombre de la conexión y haz clic en “Conectar”. Si se abre la sección VPN de Configuración, elige la conexión y pulsa igualmente “Conectar” ahí.

Si el servidor acepta tus credenciales verás el estado “Conectado” bajo el nombre de la VPN. A partir de ese momento, según cómo la hayas configurado, todo tu tráfico puede salir por la VPN (túnel completo) o solo determinados rangos de red (túnel dividido). Si activaste la opción de “usar la puerta de enlace predeterminada de la red remota” es normal que todo el tráfico pase por la VPN, lo que puede provocar pérdida de acceso a Internet si el servidor o su routing no están bien configurados.

Cuando la VPN conecta pero no hay Internet, casi siempre el problema está en DNS, en rutas erróneas, en el firewall local o en que el servidor VPN no redirige bien el tráfico hacia fuera. Más abajo verás un apartado específico para este escenario, que es de los más frecuentes.

errores comunes vpn en windows

Errores típicos de conexión VPN en Windows (800, 806, 809, 812, 720, 787…)

Windows muestra muchos problemas de VPN como códigos numéricos que, de primeras, asustan un poco. Por suerte, la mayoría de ellos tienen causas muy concretas y soluciones conocidas.

Error 800: no se pudo establecer la conexión remota

El código 800 suele indicar que el túnel ni siquiera llega a levantarse. Puede que el servidor VPN no responda, que un firewall esté bloqueando el tráfico o que, para L2TP/IPsec, falten parámetros de seguridad.

Pasos habituales para corregirlo: revisar que el nombre o IP del servidor es correcto y accesible (haz ping si procede), comprobar que los puertos necesarios están abiertos en el router/firewall (por ejemplo, TCP 1723 para PPTP, UDP 500/4500 para IPsec, 443 para SSTP o SSL) y validar que el tipo de VPN seleccionado en el cliente coincide con el del servidor.

Error 806: conexión entre tu equipo y la VPN bloqueada

El error 806 indica que algo está cortando el túnel a medio camino: suele ser el firewall (de Windows o de terceros) o, en algunos casos, un antivirus que inspecciona el tráfico y no entiende bien el protocolo GRE u otros usados por la VPN.

Prueba rápida: desactiva temporalmente el firewall y, si funciona, tendrás que crear una regla que permita el tráfico VPN y, muy importante, abrir el puerto TCP 1723 (PPTP) o los que use tu solución concreta. También es buena idea comprobar que el antivirus no está filtrando ese tráfico de forma agresiva.

Error 809: el servidor remoto no responde

El error 809 suele aparecer cuando el firewall o el router intermedio no permiten el tráfico VPN, especialmente tras NAT o cuando se usan IPsec/IKEv2. Aunque no tengas firewall de terceros, un dispositivo NAT puede dar guerra.

Una solución avanzada bastante usada es ajustar el Registro de Windows añadiendo la clave AssumeUDPEncapsulationContextOnSendRule en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent, estableciendo un DWORD de 32 bits con valor 2, y reiniciando después el equipo. Además, revisa que los puertos UDP 500 y 4500, y el puerto correspondiente al protocolo elegido, estén abiertos en el firewall.

Errores 812, 13801, 13806 y códigos de certificados

En entornos corporativos con AOVPN son muy habituales los errores relacionados con certificados y directivas:

  • 812: la directiva del servidor RAS o VPN impide la conexión porque el método de autenticación del servidor no coincide con el del perfil del cliente.
  • 13806: IKE no encuentra un certificado de equipo válido en el cliente.
  • 13801: las credenciales de autenticación IKE son inaceptables (certificado inválido, caducado, cadena no confiable, etc.).
  • 0x80070040: el certificado de servidor no incluye el uso “Autenticación de servidor”.
  • 0x800B0109: el certificado raíz no es de una entidad de certificación que el cliente considere de confianza.

En todos estos casos hay que revisar con lupa la PKI: que el certificado del servidor esté emitido por una CA de confianza, en el almacén adecuado y con los usos correctos; que el cliente tenga la raíz y, si procede, las intermedias instaladas; y que el perfil AOVPN apunte al certificado correcto, no al primero que pilla RRAS en el almacén.

Otros errores frecuentes: 720, 787 y problemas con MS-CHAPv2

El error 720 suele aparecer cuando el adaptador de minipuerto WAN (IP) no está enlazado correctamente. Una reinstalación del adaptador desde el Administrador de dispositivos suele solucionarlo.

El error 787 en conexiones L2TP/IPsec normalmente se debe a certificados de servidor con comodines o emitidos por una CA inesperada. RRAS puede elegir el primer certificado que encuentra, no el adecuado para L2TP, y esto rompe la Asociación de Seguridad IPsec.

En escenarios con L2TP/IPsec usando MS-CHAPv2 también pueden darse fallos si se modifica el valor LmCompatibilityLevel en el controlador de dominio respecto a los predeterminados, lo que corta la autenticación.

problemas aovpn windows

Problemas de conexión AOVPN (Always On VPN) en Windows

AOVPN automatiza la conexión de los equipos corporativos, pero también hace que los errores sean más puñeteros, porque el usuario ni siquiera abre manualmente la VPN: el sistema intenta levantar el túnel en segundo plano y, si algo falla, solo ves que no tienes acceso a la red de la empresa.

Los motivos más típicos de que AOVPN no conecte son:

Certificados de equipo no válidos o ausentes.

Directivas NPS inconsistentes.

Scripts de implementación mal ejecutados.

Problemas con el servicio de Enrutamiento y acceso remoto en el servidor.

Códigos específicos de AOVPN a tener en el radar: 800, 809, 812, 13801, 13806 y los errores de certificado comentados antes. Un pequeño fallo en la definición del perfil XML, en la asignación de certificados o en la política de acceso condicional de Microsoft Entra puede tirar todo el montaje.

Es clave revisar el recorrido completo que hace un cliente AOVPN al intentar conectarse: resolución DNS del servidor VPN, validación de certificados, negociación IKE/IPsec, aplicación de directivas NPS y, por último, asignación de IP y rutas. Cualquier eslabón débil rompe la cadena.

VPN conectada pero sin Internet: causas y soluciones

Este escenario es de los más desesperantes: la VPN dice que está conectada, pero el navegador no carga nada. Lo habitual es que el problema esté en DNS, en el routing o en un firewall que bloquea el tráfico real aunque deje establecer el túnel.

  • Comprueba primero que tu conexión a Internet “normal” funciona: desconecta la VPN y navega. Si tampoco tienes acceso, el problema no es de la VPN, sino de tu red (router, Wi‑Fi, proveedor, etc.). Reinicia el router, revisa cables, prueba otra red o contacta con tu ISP.
  • Si con la VPN desconectada sí navegas, toca mirar dentro de Windows: verifica que la aplicación VPN esté actualizada, prueba a cambiar de servidor dentro del propio cliente (muchos servidores se saturan o caen), y cambia de protocolo si tu proveedor lo permite (por ejemplo, de UDP a TCP o a un protocolo más moderno).
  • Un truco que resuelve bastantes casos es vaciar la caché DNS de Windows: abre el Símbolo del sistema como administrador y ejecuta ipconfig /flushdns. Esto limpia entradas DNS corruptas que pueden estar apuntando a resoluciones incorrectas una vez entras al túnel.
  • No te olvides del antivirus y el firewall: pueden dejar conectar la VPN pero bloquear posteriores peticiones DNS o HTTP/HTTPS. Desactiva temporalmente el antivirus/cortafuegos para probar y, si se soluciona, crea reglas específicas que permitan a la app VPN y a los puertos implicados trabajar sin limitaciones.

Cómo elegir las mejores DNS para tu PC con Windows

Problemas con DNS y resolución de nombres usando VPN

Cuando Windows muestra errores de “resolución de nombre de dominio” al usar una VPN, normalmente hay un conflicto entre los DNS que usa tu equipo y los que espera el tunel VPN, o los DNS públicos que has configurado no encajan con los requisitos de la VPN.

La solución estándar es cambiar los servidores DNS de la interfaz de red que estás utilizando: ve a Inicio > Configuración > Red e Internet > Cambiar opciones del adaptador, clic derecho sobre tu tarjeta en uso, “Propiedades”, selecciona Protocolo de Internet versión 4 (TCP/IPv4), pulsa “Propiedades” y marca “Usar las siguientes direcciones de servidor DNS”.

Puedes introducir DNS públicos fiables como los de Google (8.8.8.8 y 8.8.4.4) o Cloudflare (1.1.1.1 y 1.0.0.1). Guarda, desconecta y vuelve a conectar la VPN. En muchos casos el error de resolución desaparece al instante.

Si aun así persiste el problema, hay que sospechar de la propia VPN: algunas gratuitas no gestionan bien los DNS, no envían servidores internos en entornos corporativos o fuerzan resoluciones que chocan con tu configuración local. Cambiar de proveedor, idealmente a uno de pago y reconocido, suele ser la solución definitiva.

Firewall, router y puertos: el cuello de botella más habitual

Gran parte de los errores 800, 806 y 809 se solucionan atacando a un mismo punto: firewall y router. Al final, la VPN no es más que tráfico cifrado por determinados puertos; si esos puertos están cerrados, no hay magia que valga.

  • En el firewall de Windows Defender puedes crear reglas de entrada y salida que permitan el tráfico para la aplicación VPN y para los puertos usados por el protocolo seleccionado. Para PPTP, asegúrate de que el puerto TCP 1723 y el protocolo GRE están autorizados; para L2TP/IPsec, revisa UDP 500 y 4500; para SSL o SSTP, normalmente se usa TCP 443.
  • En el router de tu red también puede ser necesario abrir o redirigir puertos hacia el servidor VPN interno si es una infraestructura propia. En redes corporativas esto suele gestionarlo el equipo de sistemas, pero en casa, si montas tu propio servidor VPN o usas un router con VPN integrada, tendrás que revisar su apartado de reenvío de puertos.

Si detectas que con el firewall desactivado la VPN funciona y con él activado no, ahí tienes la prueba del algodón. Lo recomendable es no dejar el firewall totalmente apagado, sino afinar las reglas hasta que el túnel funcione sin agujerear la seguridad del sistema.

Soporte técnico VPN en Windows: cómo solucionar problemas de conexión y configuración

Adaptador TAP-Windows y otros adaptadores virtuales

Muchas VPN instalan un adaptador virtual llamado TAP-Windows (o similar) que actúa como una “tarjeta de red ficticia” por donde sale el tráfico cifrado. Si este adaptador falla, todo el servicio se desploma.

Cuando el adaptador TAP se queda tocado, puedes notar estos síntomas:

  • La VPN conecta pero la red no responde.
  • La conexión cae al rato.
  • Tu red normal se ve afectada incluso sin tunel activo.

Esto suele deberse a drivers corruptos, actualizaciones de Windows a medias o conflictos con otros adaptadores.

Primer paso fácil: reiniciar el adaptador. En “Cambiar opciones del adaptador” localiza el TAP-Windows, desactívalo con clic derecho y actívalo de nuevo. A veces con eso recupera el pulso.

Si no funciona, el siguiente movimiento es reinstalar: desinstala la VPN, reinicia el equipo y vuelve a instalar la última versión del cliente. Si sigue sin ir, entra en el Administrador de dispositivos, busca el adaptador TAP en “Adaptadores de red”, desinstálalo y deja que el instalador de la VPN lo cree de nuevo. En casos puntuales, incluso puedes añadir un adaptador TAP nuevo y usarlo en lugar del anterior. Para elegir un cliente fiable consulta opciones y comparativas sobre .

VPN doble que no funciona en Windows

La llamada “VPN doble” añade una segunda capa de túnel, encadenando dos servidores VPN para reforzar la privacidad. Suena muy bien, pero en la práctica multiplica los puntos donde algo puede atascarse.

Si la VPN doble no conecta o lo hace pero no navega, hay varios frentes a revisar:

  • Configuración de conexión automática (que quizá está intentando conectar al primer servidor como si fuera único).
  • Uso de DNS personalizados dentro de la VPN.
  • Presencia de proxies activos en Windows.

Algunas recomendaciones concretas: desactiva DNS personalizados en la app VPN si los estuvieras usando, deshabilita cualquier proxy manual en Configuración > Red e Internet > Proxy, limpia la caché DNS con ipconfig /flushdns y prueba a cambiar el par de servidores utilizados para la doble VPN. Muchas veces es un problema puntual de un servidor saturado. Si buscas alternativas para reforzar privacidad, valora también qué es una VPN descentralizada.

También ayuda probar con otros protocolos dentro de la misma VPN (cuando sea posible): algunos manejan mejor escenarios encadenados que otros, y el rendimiento y la estabilidad pueden mejorar de forma considerable.

Gestión avanzada de conexiones VPN en Windows: exportar, importar y borrar perfiles

En entornos profesionales es habitual necesitar migrar perfiles VPN entre equipos o limpiar configuraciones antiguas que solo generan errores. Windows permite exportar e importar conexiones sin depender de programas externos.

Para exportar conexiones VPN creadas con el cliente integrado de Windows, accede a la ruta %AppData%\Microsoft\Network\Connections (puedes pegarla en la barra del Explorador). Dentro encontrarás una carpeta llamada Pbk; basta con copiarla a un USB o a otra ubicación para luego pegarla en el mismo sitio de otro equipo y tener allí las mismas conexiones.

Si necesitas borrar por completo perfiles VPN que ya no vas a usar, puedes hacerlo desde varios sitios: en Configuración > Red e Internet > VPN seleccionas la conexión y pulsas “Quitar”; desde el Panel de control, en Centro de redes y recursos compartidos > Cambiar configuración del adaptador, eliminando la conexión; o usando comandos como rasphone -R "Nombre" en Símbolo del sistema (administrador) o Remove-VpnConnection -Name "Nombre" -Force en PowerShell.

Con clientes como OpenVPN, WireGuard o soluciones comerciales específicas no es buena idea borrar interfaces virtuales desde el Panel de control, porque puedes cargarte todos los perfiles. En esos casos, gestiona la eliminación desde la propia aplicación o, si es OpenVPN, eliminando los ficheros de configuración en la carpeta config del usuario.

Cambio y seguridad de la contraseña VPN en Windows

Si usas el cliente integrado de Windows para conectarte a una VPN corporativa, en algún momento te tocará cambiar la contraseña (porque caduca, por política de empresa o porque has tenido un fallo de autenticación).

Para cambiar la clave almacenada en un perfil VPN de Windows, ve a Inicio > Configuración > Red e Internet > VPN, selecciona la conexión, entra en “Opciones avanzadas” y localiza el campo “Contraseña”. Introduce la nueva, guarda los cambios y prueba la conexión.

A nivel de seguridad, es importante no reutilizar contraseñas: lo ideal es que la VPN tenga una clave única, larga (mínimo 12-16 caracteres), con mayúsculas, minúsculas, números y símbolos, y que no sea una palabra o dato que te identifique directamente. Un gestor de contraseñas facilita mucho este punto.

Si la VPN se integra con tu usuario de dominio (Active Directory), recuerda que el cambio de contraseña no se hace desde el perfil VPN, sino desde la cuenta de Windows o los mecanismos corporativos habituales. El perfil simplemente usará esas nuevas credenciales la próxima vez que intentes conectar.

Cuándo recopilar trazas y contactar con soporte especializado

Hay situaciones en las que, por mucho que pruebes ajustes típicos, la VPN sigue negándose en redondo. Si trabajas en un entorno empresarial Microsoft, tiene sentido recopilar datos antes de abrir un ticket con el soporte de la compañía.

Microsoft recomienda usar sus scripts TSS (Troubleshooting Scripts) para capturar información detallada tanto en cliente como en servidor. Debes ejecutarlos con una cuenta con privilegios de administrador, aceptar el CLUF la primera vez y asegurarte de que la directiva de ejecución de PowerShell permite RemoteSigned.

El procedimiento habitual es:

  1. Descargar TSS en C:\tss.
  2. Abrir un PowerShell elevado en esa carpeta.
  3. Lanzar los cmdlets para iniciar seguimiento en cliente y servidor.
  4. Reproducir el problema.
  5. Finalizar la recopilación introduciendo “Y” cuando lo solicite. Los registros se empaquetan en un ZIP en C:\MS_DATA que podrás enviar a soporte.

En despliegues complejos con AOVPN, NPS, Entra ID y certificados de por medio, este tipo de trazas marcan la diferencia entre ir a ciegas durante días o localizar un fallo de política o de PKI en una sola revisión por parte de un técnico de segundo nivel.

Al final, tener una VPN estable en Windows pasa por dominar unos cuantos fundamentos: crear bien el perfil, saber qué puertos y protocolos usan tus túneles, controlar el firewall y el router, mantener al día el cliente y los drivers, vigilar los DNS y entender los errores más frecuentes (800, 806, 809, 812, 13801, 13806, problemas de TAP, SSL inactiva, doble VPN, etc.). Con esa base, la mayoría de problemas se resuelven en pocos minutos, y para los casos más rebeldes siempre podrás tirar de trazas avanzadas o, si el servicio es de terceros, apoyar la incidencia en un buen soporte técnico y en una VPN de confianza.

error vpn windows 11
Artículo relacionado:
Cómo solucionar errores de VPN en Windows 11 y Windows 10: guía completa y práctica