Site-to-Site IPSec VPN – CHILD_SA-Konfiguration „<name> “ nicht gefunden auf

Erstellt 28. Januar 2026 04:55 - Aktualisiert 28. Januar 2026 13:15

Serhii Boiarynov

Wichtiger Hinweis:
Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten hinsichtlich der Richtigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier:Originalversion

In diesem Artikel wird erläutert, wann der Fehler CHILD_SA config '' not found auf Zyxel-Firewalls auftreten kann, warum dies geschieht und welche Schritte zur Behebung des Problems unternommen werden können. Das Problem wird in der Regel nicht durch falsche VPN-Einstellungen verursacht, sondern dadurch, wie die Firewall intern die Phase-2-Konfiguration (Child SA) erstellt.

Fehlerbeschreibung

Beim Versuch, ein Site-to-Site-IPSec-VPN auf einer Zyxel-Firewall einzurichten, wird die folgende Fehlermeldung angezeigt

Befehl fehlgeschlagen: CHILD_SA-Konfiguration „ “ nicht gefunden

Der Fehler tritt am häufigsten auf, wenn Sie auf die Schaltfläche „Verbinden“ klicken, obwohl alle VPN-Parameter in der GUI korrekt erscheinen.

Was bedeutet dieser Fehler?

Dieser Fehler weist darauf hin, dass Phase 2 (Child SA) – der Teil der VPN-Konfiguration, der die lokalen und Remote-Subnetze definiert – nicht erstellt oder nicht korrekt in der Firewall gespeichert wurde.

Wichtige Hinweise:

Auch wenn in der Schnittstelle die richtigen Netzwerke angezeigt werden
Auch wenn dieselben IP-Adressen aus dem Adressbuch ausgewählt wurden

Das interne Child SA-Objekt fehlt möglicherweise oder ist beschädigt.

Wann tritt dieses Problem am häufigsten auf?

Dieser Fehler tritt häufiger in den folgenden Szenarien auf:

Der erste VPN-Tunnel auf einer neuen oder kürzlich installierten Firewall
Verwendung von Adressbuchobjekten für Phase-2-Selektoren
Gemischte Umgebungen, zum Beispiel:
- H-Serie (Nebula-verwaltet) ↔ USG Flex (eigenständig)
VPN über Nebula konfiguriert, während das Remote-Gerät nicht zur H-Serie gehört
Die VPN-Konfiguration wurde erstellt, aber nicht ordnungsgemäß angewendet (Anwenden)

Warum dies geschieht

Die Firewall konvertiert intern Phase-2-Einstellungen (lokale und Remote-Netzwerke) in Child-SA-Einträge.

In einigen Fällen:

Die Child-SA-Einträge werden nicht erstellt
Oder sie werden falsch erstellt
Oder sie werden während der ersten Einrichtung nicht gespeichert

Aus diesem Grund kann die Firewall bei dem Versuch, eine Verbindung herzustellen, die erforderliche Child SA nicht finden und zeigt die Fehlermeldung an.

Empfohlene Lösung (Schritt für Schritt)

Entfernen Sie die vorhandene Site-to-Site-VPN-Konfiguration auf beiden Geräten
Erstellen Sie das VPN von Grund auf neu (verwenden Sie dieselben Parameter PSK, Algorithmen, Netzwerke).

Empfohlene Konfigurationsmethode

Wenn es sich bei dem Remote-Gerät um USG Flex (nicht H-Serie, eigenständig) handelt:

Konfigurieren Sie das VPN über die lokale Web-GUI
Verwenden Sie klassisches, richtlinienbasiertes IPSec

Diese Methode bietet eine bessere Kompatibilität und ein stabileres Verhalten als die Konfiguration des VPN über Nebula.

Überprüfen Sie die Phase-2-Einstellungen

Stellen Sie sicher, dass:

lokale und entfernte Subnetze korrekt sind
sich die Subnetze nicht überschneiden

Adressbuchobjekte verwendet werden können, aber wenn das Problem weiterhin besteht:

Definieren Sie die Netzwerke vorübergehend manuell, ohne Adressbuchobjekte

Stellen Sie die Verbindung zum Tunnel erneut her

Klicken Sie auf „Verbinden“
In den meisten Fällen verschwindet der Fehler sofort nach dem erneuten Erstellen des Tunnels

Beiträge in diesem Abschnitt

Weitere anzeigen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.