VPN IPSec site à site - Configuration CHILD_SA «<name> » introuvable sur

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos tudnivaló:
Tisztelt Ügyfél! Felhívjuk figyelmét, hogy gépi fordítást használunk a cikkek helyi nyelven történő megjelenítéséhez. Lehetséges, hogy nem minden szöveg fordítása pontos. Ha kérdése van vagy eltérést talál a fordított változatban szereplő információk pontosságával kapcsolatban, kérjük, olvassa el az eredeti cikket itt:Eredeti változat

Ez a cikk elmagyarázza, mikor jelenhet meg a CHILD_SA config '' not found hiba a Zyxel tűzfalakon, miért történik ez, és milyen lépéseket lehet tenni a probléma megoldására. A probléma általában nem a helytelen VPN-beállítások miatt keletkezik, hanem azért, mert a tűzfal belsőleg létrehozza a 2. fázis (Child SA) konfigurációt.

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Hiba leírása

Amikor megpróbálunk létrehozni egy Site-to-Site IPSec VPN-t egy Zyxel tűzfalon, a következő hibaüzenet jelenik meg

A parancs sikertelen: CHILD_SA config '' nem található

A hiba leggyakrabban a „Csatlakozás” gombra kattintáskor jelentkezik, még akkor is, ha az összes VPN-paraméter helyesnek tűnik a grafikus felhasználói felületen.

Mit jelent ez a hiba?

Ez a hiba azt jelzi, hogy a 2. fázis (Child SA) – a VPN-konfiguráció azon része, amely meghatározza a helyi és távoli alhálózatokatnem lett létrehozva vagy nem lett megfelelően elmentve a tűzfalon belül.

Fontos megjegyzések:

  • Még akkor is, ha a felületen a helyes hálózatok jelennek meg

  • Még akkor is, ha ugyanazok az IP-címek vannak kiválasztva a címjegyzékből

A belső Child SA objektum hiányozhat vagy sérült lehet.

Mikor fordul elő leggyakrabban ez a probléma?

Ez a hiba a következő esetekben fordul elő gyakrabban:

  • Az első VPN-alagút egy új vagy nemrég telepített tűzfalon

  • Címjegyzék objektumok használata a 2. fázis szelektorokhoz

  • Vegyes környezetek, például:

    • H-sorozat (Nebula által kezelt) ↔ USG Flex (önálló)

  • A VPN a Nebula-n keresztül van konfigurálva, míg a távoli eszköz nem H-sorozatú

  • A VPN-konfiguráció létrehozásra került, de nem került megfelelően alkalmazásra (Alkalmazás)

Miért történik ez

A tűzfal belsőleg konvertálja a 2. fázis beállításait (helyi és távoli hálózatok) Child SA bejegyzésekké.

Bizonyos esetekben:

  • A Child SA bejegyzések nem kerülnek létrehozásra

  • Vagy helytelenül jönnek létre

  • Vagy nem kerülnek mentésre az első beállítás során

Emiatt, amikor a tűzfal megpróbál csatlakozni, nem találja a szükséges Child SA-t, és hibaüzenetet jelenít meg.

Ajánlott megoldás (lépésről lépésre)

  • Távolítsa el a meglévő Site-to-Site VPN konfigurációt mindkét eszközről

  • Hozza létre a VPN-t a nulláról (használja ugyanazokat a PSK paramétereket, algoritmusokat, hálózatokat)

Ajánlott konfigurációs módszer

Ha a távoli eszköz USG Flex (nem H-sorozat, önálló):

  • Konfigurálja a VPN-t a helyi webes grafikus felület segítségével

  • Használja a klasszikus, szabályalapú IPSec-et

Ez a módszer jobb kompatibilitást és stabilabb működést biztosít, mint a VPN Nebula segítségével történő konfigurálása.

Ellenőrizze a 2. fázis beállításait

Győződjön meg arról, hogy:

  • A helyi és távoli alhálózatok helyesek

  • Az alhálózatok nem fedik egymást

A címjegyzék objektumok használhatók, de ha a probléma továbbra is fennáll:

  • Ideiglenesen határozza meg a hálózatokat manuálisan, címjegyzék-objektumok nélkül

Csatlakoztassa újra az alagutat

  • Kattintson a Csatlakozás gombra

  • A legtöbb esetben a hiba az alagút újbóli létrehozása után azonnal megszűnik

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
0/0 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.