Site-to-Site IPSec VPN - CHILD_SA config '<name>' не е намерен на

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Vážený zákazníku, upozorňujeme, že k poskytování článků ve vašem místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. Máte-li dotazy nebo nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde:Původní verze

Tento článek vysvětluje, kdy se na firewallech Zyxel může objevit chyba CHILD_SA config '' not found, proč k ní dochází a jaké kroky lze podniknout k jejímu vyřešení. Problém obvykle není způsoben nesprávným nastavením VPN, ale způsobem, jakým firewall interně vytváří konfiguraci fáze 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Popis chyby

Při pokusu o navázání Site-to-Site IPSec VPN na bráně firewall Zyxel se zobrazí následující chybová zpráva

Příkaz se nezdařil: CHILD_SA config '' nenalezen

K chybě dochází nejčastěji při kliknutí na tlačítko „Připojit“, i když všechny parametry VPN vypadají v grafickém uživatelském rozhraní správně.

Co tato chyba znamená?

Tato chyba znamená, že fáze 2 (Child SA) – část konfigurace VPN, která definuje místní a vzdálené podsítěnebyla vytvořena nebo nebyla správně uložena ve firewallu.

Důležité poznámky:

  • I když jsou v rozhraní zobrazeny správné sítě

  • I když jsou v adresáři vybrány stejné IP adresy

Vnitřní objekt Child SA může chybět nebo být poškozen.

Kdy se tento problém vyskytuje nejčastěji?

Tato chyba se častěji vyskytuje v následujících scénářích:

  • První tunel VPN na novém nebo nedávno nainstalovaném firewallu

  • Použití objektů adresáře pro selektory fáze 2

  • Smíšená prostředí, například:

    • H-Series (Nebula-managed) ↔ USG Flex (samostatný)

  • VPN nakonfigurovaná prostřednictvím Nebula, zatímco vzdálené zařízení není řady H

  • Konfigurace VPN byla vytvořena, ale nebyla správně použita (Použít)

Proč k tomu dochází

Firewall interně převádí nastavení fáze 2 (místní a vzdálené sítě) na položky Child SA.

V některých případech:

  • Záznamy Child SA nejsou vytvořeny

  • Nebo jsou vytvořeny nesprávně

  • Nebo nejsou uloženy během prvního nastavení

Z tohoto důvodu, když se firewall pokouší o připojení, nemůže najít požadované Child SA a zobrazí chybu.

Doporučené řešení (krok za krokem)

  • Odstraňte stávající konfiguraci Site-to-Site VPN na obou zařízeních

  • Vytvořte VPN od začátku (použijte stejné parametry PSK, algoritmy, sítě)

Doporučená metoda konfigurace

Pokud je vzdálené zařízení USG Flex (ne H-Series, samostatné):

  • Nakonfigurujte VPN pomocí místního webového grafického uživatelského rozhraní

  • Použijte klasický IPSec založený na zásadách

Tato metoda poskytuje lepší kompatibilitu a stabilnější chování než konfigurace VPN prostřednictvím Nebula.

Zkontrolujte nastavení fáze 2

Ujistěte se, že:

  • Místní a vzdálené podsítě jsou správné

  • Podsítě se nepřekrývají

Objekty adresáře lze použít, ale pokud problém přetrvává:

  • Dočasně definujte sítě ručně, bez objektů adresáře

Znovu připojte tunel

  • Klikněte na Připojit

  • Ve většině případů chyba zmizí ihned po opětovném vytvoření tunelu

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.