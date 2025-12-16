Gli aggiornamenti di Windows 11 rilasciati da Microsoft nell’autunno 2025 stanno generando un problema tutt’altro che marginale per le infrastrutture IT aziendali che fanno uso intensivo di Windows Subsystem for Linux (WSL). Microsoft ha infatti confermato l’esistenza di un bug che compromette la connettività di rete in ambienti WSL quando sono attive VPN di terze parti, uno scenario estremamente comune nei contesti professionali e aziendali.

Il problema è emerso dopo l’installazione dell’aggiornamento non di sicurezza KB5067036 (28 ottobre 2025) e di tutti i pacchetti successivi, incluso l’aggiornamento cumulativo KB5072033 distribuito con il Patch Tuesday di novembre 2025. In presenza di queste patch, alcune configurazioni VPN cessano di funzionare correttamente all’interno di WSL, pur continuando a operare senza problemi sul sistema Windows host.

Il ruolo chiave del networking “mirrored” in WSL

Il nodo centrale della questione è il mirrored mode networking, una modalità introdotta in WSL per migliorare l’integrazione con lo stack di rete di Windows.

Si tratta di una modalità consente a WSL di condividere direttamente l’interfaccia di rete del sistema host, migliorare la compatibilità con le VPN, supportare IPv6 e multicast, permettere connessioni bidirezionali tra WSL, LAN locale e servizi Windows.

In teoria, mirrored mode rappresenta la soluzione ideale per ambienti aziendali complessi. In pratica, con gli ultimi aggiornamenti di Windows 11, si è trasformata in un punto debole.

Sui sistemi colpiti, gli amministratori e gli sviluppatori riscontrano errori del tipo “No route to host“. E si tratta di un comportamento particolarmente fastidioso perché la connettività funziona correttamente su Windows, le stesse risorse risultano irraggiungibili da WSL, il problema si manifesta solo quando la VPN è attiva (ad esempio OpenVPN o soluzioni come Cisco Secure Client ex AnyConnect) e mirrored mode è abilitata.

La causa tecnica: un problema di ARP sulle interfacce virtuali

Dal punto di vista tecnico, la radice del malfunzionamento è stata individuata nel comportamento delle interfacce di rete virtuali delle VPN.

In particolare, le interfacce non rispondono correttamente alle richieste ARP (Address Resolution Protocol), non funziona il meccanismo di risoluzione tra indirizzi IP e MAC così WSL in mirrored mode non riesce a instradare il traffico verso le risorse aziendali. Il risultato è una rottura silenziosa della comunicazione, difficile da intercettare se non si analizza il traffico a basso livello.

Microsoft ha confermato che il problema è in fase di indagine, ma al momento non esiste una patch correttiva, non è riportato alcun workaround ufficiale né una tempistica per la risoluzione.