Site-to-Site IPSec VPN - CHILD_SA-configuratie '<name>' niet gevonden op

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Beste klant, houd er rekening mee dat we machinevertaling gebruiken om artikelen in uw lokale taal aan te bieden. Niet alle tekst wordt mogelijk nauwkeurig vertaald. Als u vragen hebt of onjuistheden constateert in de vertaalde versie, raadpleeg dan het originele artikel hier:Originele versie

In dit artikel wordt uitgelegd wanneer de foutmelding CHILD_SA config '' not found kan verschijnen op Zyxel-firewalls, waarom dit gebeurt en welke stappen u kunt nemen om dit op te lossen. Het probleem wordt meestal niet veroorzaakt door verkeerde VPN-instellingen, maar door de manier waarop de firewall intern de Phase 2 (Child SA)-configuratie aanmaakt.

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Foutbeschrijving

Wanneer u een Site-to-Site IPSec VPN op een Zyxel-firewall probeert op te zetten, verschijnt de volgende foutmelding

Commando mislukt: CHILD_SA-configuratie '' niet gevonden

De fout treedt meestal op wanneer u op de knop 'Verbinden' klikt, ook al zien alle VPN-parameters er correct uit in de GUI.

Wat betekent deze foutmelding?

Deze fout geeft aan dat fase 2 (Child SA) — het deel van de VPN-configuratie dat de lokale en externe subnetten definieert — niet is aangemaakt of niet correct is opgeslagen in de firewall.

Belangrijke opmerkingen:

  • Zelfs als de juiste netwerken worden weergegeven in de interface

  • Zelfs als dezelfde IP-adressen zijn geselecteerd uit het adresboek

Het interne Child SA-object kan ontbreken of beschadigd zijn.

Wanneer komt dit probleem het vaakst voor?

Deze fout komt vaker voor in de volgende scenario's:

  • De eerste VPN-tunnel op een nieuwe of recent geïnstalleerde firewall

  • Gebruik van adresboekobjecten voor fase 2-selectors

  • Gemengde omgevingen, bijvoorbeeld:

    • H-serie (Nebula-beheerd) ↔ USG Flex (standalone)

  • VPN geconfigureerd via Nebula, terwijl het externe apparaat geen H-serie is

  • De VPN-configuratie is gemaakt, maar niet correct toegepast (Toepassen)

Waarom dit gebeurt

De firewall zet fase 2-instellingen (lokale en externe netwerken) intern om in Child SA-vermeldingen.

In sommige gevallen:

  • De Child SA-vermeldingen worden niet aangemaakt

  • Of ze zijn onjuist aangemaakt

  • Of ze worden niet opgeslagen tijdens de eerste installatie

Hierdoor kan de firewall bij het maken van een verbinding de vereiste Child SA niet vinden en wordt de foutmelding weergegeven.

Aanbevolen oplossing (stap voor stap)

  • Verwijder de bestaande Site-to-Site VPN-configuratie op beide apparaten

  • Maak de VPN helemaal opnieuwaan (gebruik dezelfde parameters PSK, algoritmen, netwerken)

Aanbevolen configuratiemethode

Als het externe apparaat USG Flex is (niet H-serie, standalone):

  • Configureer de VPN met behulp van de lokale web-GUI

  • Gebruik klassieke, op beleid gebaseerde IPSec

Deze methode biedt betere compatibiliteit en stabieler gedrag dan het configureren van de VPN via Nebula.

Controleer de instellingen voor fase 2

Zorg ervoor dat:

  • Lokale en externe subnetten correct zijn

  • De subnetten elkaar niet overlappen

Adresboekobjecten kunnen worden gebruikt, maar als het probleem zich blijft voordoen:

  • Definieer de netwerken tijdelijk handmatig, zonder adresboekobjecten

Maak opnieuw verbinding met de tunnel

  • Klik op Verbinden

  • In de meeste gevallen verdwijnt de foutmelding onmiddellijk nadat de tunnel opnieuw is aangemaakt

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.