VPN IPSec de sitio a sitio - CHILD_SA config '<name>' no encontrado en

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con precisión. Si tiene alguna pregunta o encuentra discrepancias en la precisión de la información de la versión traducida, consulte el artículo original aquí:Versión original

Este artículo explica cuándo puede aparecer el error CHILD_SA config '' not found en los cortafuegos Zyxel, por qué ocurre y qué pasos se pueden seguir para resolverlo. El problema no suele estar causado por una configuración VPN incorrecta, sino por la forma en que el cortafuegos crea internamente la configuración de la fase 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Descripción del error

Al intentar establecer una VPN IPSec de sitio a sitio en un firewall Zyxel, aparece el siguiente mensaje de error

Comando fallido: CHILD_SA config '' no encontrado

El error se produce con mayor frecuencia al hacer clic en el botón «Conectar», aunque todos los parámetros de VPN parezcan correctos en la interfaz gráfica de usuario.

¿Qué significa este error?

Este error indica que la fase 2 (Child SA), la parte de la configuración VPN que define las subredes locales y remotas, no se ha creado o no se ha guardado correctamente en el firewall.

Notas importantes:

  • Incluso si se muestran las redes correctas en la interfaz

  • Incluso si se seleccionan las mismas direcciones IP de la libreta de direcciones

Es posible que el objeto SA secundario interno falte o esté dañado.

¿Cuándo se produce este problema con mayor frecuencia?

Este error es más común en los siguientes casos:

  • El primer túnel VPN en un firewall nuevo o instalado recientemente

  • Uso de objetos de la libreta de direcciones para selectores de fase 2

  • Entornos mixtos, por ejemplo:

    • Serie H (gestionada por Nebula) ↔ USG Flex (autónomo)

  • VPN configurada a través de Nebula, mientras que el dispositivo remoto no es de la serie H

  • La configuración VPN se ha creado, pero no se ha aplicado correctamente (Aplicar)

Por qué ocurre esto

El firewall convierte internamente la configuración de la fase 2 (redes locales y remotas) en entradas SA secundarias.

En algunos casos:

  • Las entradas SA secundarias no se crean

  • O se crean incorrectamente

  • O no se guardan durante la primera configuración

Debido a esto, cuando el firewall intenta conectarse, no puede encontrar la SA secundaria requerida y muestra el error.

Solución recomendada (paso a paso)

  • Elimine la configuración VPN de sitio a sitio existente en ambos dispositivos

  • Cree la VPN desde cero (utilice los mismos parámetros PSK, algoritmos y redes).

Método de configuración recomendado

Si el dispositivo remoto es USG Flex (no serie H, independiente):

  • Configure la VPN utilizando la interfaz gráfica de usuario web local.

  • Utilice IPSec clásico basado en políticas

Este método ofrece una mejor compatibilidad y un comportamiento más estable que la configuración de la VPN a través de Nebula.

Compruebe la configuración de la fase 2

Asegúrese de que:

  • Las subredes locales y remotas sean correctas

  • Las subredes no se solapan

Se pueden utilizar objetos de la libreta de direcciones, pero si el problema persiste:

  • Defina temporalmente las redes de forma manual, sin objetos de la libreta de direcciones

Vuelva a conectar el túnel

  • Haga clic en Conectar

  • En la mayoría de los casos, el error desaparece inmediatamente después de volver a crear el túnel.

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.