Site-to-Site IPSec VPN - CHILD_SA config '<name>' не е намерен на

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно съобщение:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставим статии на вашия местен език. Не всички текстове могат да бъдат преведени точно. Ако имате въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук:Оригинална версия

В тази статия се обяснява кога може да се появи грешката CHILD_SA config '' not found на Zyxel Firewalls, защо се случва и какви стъпки могат да се предприемат, за да се разреши. Проблемът обикновено не се дължи на грешни VPN настройки, а на начина, по който защитната стена създава вътрешно конфигурацията на фаза 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Описание на грешката

При опит да се установи Site-to-Site IPSec VPN на Zyxel Firewall, се появява следното съобщение за грешка

Командата се провали: CHILD_SA config '' не е намерен

Грешката се появява най-често при натискане на бутона „Свържи“, въпреки че всички VPN параметри изглеждат правилни в графичния интерфейс.

Какво означава тази грешка?

Тази грешка показва, че фаза 2 (Child SA) – частта от VPN конфигурацията, която дефинира локалните и отдалечените подмрежине е създадена или не е запазена правилно във firewall-а.

Важни бележки:

  • Дори ако в интерфейса се показват правилни мрежи

  • Дори ако са избрани същите IP адреси от адресната книга

Вътрешният обект Child SA може да липсва или да е повреден.

Кога се случва този проблем най-често?

Тази грешка е по-често срещана в следните сценарии:

  • Първият VPN тунел на нова или наскоро инсталирана защитна стена

  • Използване на обекти от адресната книга за селектори от фаза 2

  • Смесени среди, например:

    • H-Series (Nebula-управлявана) ↔ USG Flex (самостоятелна)

  • VPN, конфигуриран чрез Nebula, докато отдалеченото устройство не е от серията H

  • VPN конфигурацията е създадена, но не е приложена правилно (Приложи)

Защо се случва това

Защитната стена вътрешно преобразува настройките от фаза 2 (локални и отдалечени мрежи) в записи Child SA.

В някои случаи:

  • Записите Child SA не са създадени

  • Или са създадени неправилно

  • Или не се запазват по време на първата настройка

Поради това, когато защитната стена се опита да се свърже, тя не може да намери необходимата Child SA и показва грешка.

Препоръчително решение (стъпка по стъпка)

  • Премахнете съществуващата конфигурация на Site-to-Site VPN и на двете устройства

  • Създайте VPN от нулата (използвайте същите параметри PSK, алгоритми, мрежи)

Препоръчителен метод за конфигуриране

Ако отдалеченото устройство е USG Flex (не от серията H, самостоятелно):

  • Конфигурирайте VPN, използвайки локалния уеб GUI

  • Използвайте класически IPSec, базиран на политики

Този метод осигурява по-добра съвместимост и по-стабилно поведение в сравнение с конфигурирането на VPN чрез Nebula.

Проверете настройките на фаза 2

Уверете се, че:

  • Локалните и отдалечените подмрежи са правилни

  • Подмрежите не се припокриват

Обектите от адресната книга могат да се използват, но ако проблемът продължава:

  • Временно дефинирайте мрежите ръчно, без обекти от адресната книга

Свържете тунела отново

  • Кликнете върху „Свързване“

  • В повечето случаи грешката изчезва веднага след пресъздаването на тунела

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.