Site-to-Site IPSec VPN - CHILD_SA-määritys '<name>' ei löytynyt

Création 28 janvier 2026 04:55 - Mise à jour 28 janvier 2026 13:15

Serhii Boiarynov

Vous avez d’autres questions ? Envoyer une demande

Avis important :
Cher client, veuillez noter que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Il est possible que certains passages ne soient pas traduits avec précision. Si vous avez des questions ou constatez des divergences quant à l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici :Version originale

Cet article explique quand l'erreur CHILD_SA config '' not found peut apparaître sur les pare-feu Zyxel, pourquoi elle se produit et quelles mesures peuvent être prises pour la résoudre. Le problème n'est généralement pas dû à des paramètres VPN incorrects, mais à la manière dont le pare-feu crée en interne la configuration de phase 2 (Child SA).

Description de l'erreur

Lorsque vous essayez d'établir un VPN IPSec site à site sur un pare-feu Zyxel, le message d'erreur suivant s'affiche

Commande échouée : configuration CHILD_SA « » introuvable

L'erreur se produit le plus souvent lorsque vous cliquez sur le bouton « Connect » (Se connecter), même si tous les paramètres VPN semblent corrects dans l'interface graphique.

Que signifie cette erreur ?

Cette erreur indique que la phase 2 (Child SA), qui définit les sous-réseaux locaux et distants dans la configuration VPN, n' a pas été créée ou n'a pas été enregistrée correctement dans le pare-feu.

Remarques importantes :

Même si les réseaux corrects sont affichés dans l'interface
Même si les mêmes adresses IP sont sélectionnées dans le carnet d'adresses

L'objet SA enfant interne peut être manquant ou corrompu.

Quand ce problème se produit-il le plus souvent ?

Cette erreur est plus fréquente dans les scénarios suivants :

Premier tunnel VPN sur un pare-feu nouveau ou récemment installé
Utilisation d'objets du carnet d'adresses pour les sélecteurs de phase 2
Environnements mixtes, par exemple :
- Série H (gérée par Nebula) ↔ USG Flex (autonome)
VPN configuré via Nebula, alors que le périphérique distant n'est pas de la série H
La configuration VPN a été créée mais n'a pas été correctement appliquée (Appliquer)

Pourquoi cela se produit

Le pare-feu convertit en interne les paramètres de phase 2 (réseaux locaux et distants) en entrées SA enfants.

Dans certains cas :

Les entrées Child SA ne sont pas créées
Ou elles sont créées de manière incorrecte
Ou elles ne sont pas enregistrées lors de la première configuration

De ce fait, lorsque le pare-feu tente de se connecter, il ne trouve pas la SA enfant requise et affiche une erreur.

Solution recommandée (étape par étape)

Supprimez la configuration VPN site à site existante sur les deux appareils
Créez le VPN à partir de zéro (utilisez les mêmes paramètres PSK, algorithmes, réseaux)

Méthode de configuration recommandée

Si l'appareil distant est un USG Flex (non H-Series, autonome):

Configurez le VPN à l'aide de l'interface graphique Web locale
Utilisez le protocole IPSec classique basé sur des politiques

Cette méthode offre une meilleure compatibilité et un comportement plus stable que la configuration du VPN via Nebula.

Vérifiez les paramètres de la phase 2

Assurez-vous que :

Les sous-réseaux locaux et distants sont corrects
Les sous-réseaux ne se chevauchent pas

Les objets du carnet d'adresses peuvent être utilisés, mais si le problème persiste :

Définissez temporairement les réseaux manuellement, sans utiliser les objets du carnet d'adresses

Reconnectez le tunnel

Cliquez sur Connect
Dans la plupart des cas, l'erreur disparaît immédiatement après la recréation du tunnel