Site-to-Site IPSec VPN - CHILD_SA config '<name>' nem található a

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, ti informiamo che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo potrebbe essere tradotto in modo accurato. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, ti invitiamo a consultare l'articolo originale qui:Versione originale

Questo articolo spiega quando l'errore CHILD_SA config '' not found può comparire sui firewall Zyxel, perché si verifica e quali misure è possibile adottare per risolverlo. Il problema di solito non è causato da impostazioni VPN errate, ma dal modo in cui il firewall crea internamente la configurazione di Fase 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Descrizione dell'errore

Quando si tenta di stabilire una VPN IPSec Site-to-Site su un firewall Zyxel, viene visualizzato il seguente messaggio di errore

Comando non riuscito: configurazione CHILD_SA '' non trovata

L'errore si verifica più spesso quando si fa clic sul pulsante "Connetti", anche se tutti i parametri VPN sembrano corretti nella GUI.

Cosa significa questo errore?

Questo errore indica che la Fase 2 (Child SA), ovvero la parte della configurazione VPN che definisce le sottoreti locali e remote, non è stata creata o non è stata salvata correttamente all'interno del firewall.

Note importanti:

  • Anche se nell'interfaccia vengono visualizzate le reti corrette

  • Anche se gli stessi indirizzi IP sono selezionati dalla Rubrica

L'oggetto Child SA interno potrebbe essere mancante o danneggiato.

Quando si verifica più spesso questo problema?

Questo errore è più comune nei seguenti scenari:

  • Il primo tunnel VPN su un firewall nuovo o installato di recente

  • Utilizzo di oggetti della Rubrica per i selettori di Fase 2

  • Ambienti misti, ad esempio:

    • Serie H (gestita da Nebula) ↔ USG Flex (autonoma)

  • VPN configurata tramite Nebula, mentre il dispositivo remoto non è della serie H

  • La configurazione VPN è stata creata ma non applicata correttamente (Applica)

Perché succede

Il firewall converte internamente le impostazioni della Fase 2 (reti locali e remote) in voci SA secondarie.

In alcuni casi:

  • Le voci Child SA non vengono create

  • Oppure vengono create in modo errato

  • Oppure non vengono salvate durante la prima configurazione

Per questo motivo, quando il firewall tenta di connettersi, non riesce a trovare la Child SA richiesta e visualizza l'errore.

Soluzione consigliata (passo dopo passo)

  • Rimuovere la configurazione VPN Site-to-Site esistente su entrambi i dispositivi

  • Creare la VPN da zero (utilizzare gli stessi parametri PSK, algoritmi, reti)

Metodo di configurazione consigliato

Se il dispositivo remoto è USG Flex (non serie H, autonomo):

  • Configurare la VPN utilizzando la GUI Web locale

  • Utilizzare il classico IPSec basato su criteri

Questo metodo offre una migliore compatibilità e un comportamento più stabile rispetto alla configurazione della VPN tramite Nebula.

Controllare le impostazioni della Fase 2

Assicurarsi che:

  • Le sottoreti locali e remote siano corrette

  • Le sottoreti non si sovrappongano

Gli oggetti della Rubrica possano essere utilizzati, ma se il problema persiste:

  • Definire temporaneamente le reti manualmente, senza oggetti della Rubrica

Ricollegare il tunnel

  • Fare clic su Connetti

  • Nella maggior parte dei casi, l'errore scompare immediatamente dopo aver ricreato il tunnel

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 0
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.