Site-to-Site IPSec VPN - CHILD_SA-konfigurasjon '<name>' ikke funnet på

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å tilby artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis du har spørsmål eller finner uoverensstemmelser i nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese den opprinnelige artikkelen her:Originalversjon

Denne artikkelen forklarer når feilen CHILD_SA config '' not found kan vises på Zyxel-brannmurer, hvorfor det skjer og hvilke tiltak som kan gjøres for å løse det. Problemet skyldes vanligvis ikke feil VPN-innstillinger, men hvordan brannmuren internt oppretter fase 2-konfigurasjonen (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Feilbeskrivelse

Når du prøver å opprette en Site-to-Site IPSec VPN på en Zyxel-brannmur, vises følgende feilmelding

Kommando mislyktes: CHILD_SA-konfigurasjon '' ikke funnet

Feilen oppstår oftest når du klikker på «Koble til»-knappen, selv om alle VPN-parametere ser riktige ut i GUI.

Hva betyr denne feilen?

Denne feilen indikerer at fase 2 (Child SA) – den delen av VPN-konfigurasjonen som definerer lokale og eksterne undernettikke ble opprettet eller ikke ble lagret riktig i brannmuren.

Viktige merknader:

  • Selv om de riktige nettverkene vises i grensesnittet

  • Selv om de samme IP-adressene er valgt fra adresseboken

Det interne Child SA-objektet kan mangle eller være ødelagt.

Når oppstår dette problemet oftest?

Denne feilen er mer vanlig i følgende scenarier:

  • Den første VPN-tunnelen på en ny eller nylig installert brannmur

  • Bruk av adressebokobjekter for fase 2-selektorer

  • Blandede miljøer, for eksempel:

    • H-serien (Nebula-administrert) ↔ USG Flex (frittstående)

  • VPN konfigurert gjennom Nebula, mens den eksterne enheten ikke er H-serien

  • VPN-konfigurasjonen ble opprettet, men ikke riktig brukt (Bruk)

Hvorfor dette skjer

Brannmuren konverterer internt fase 2-innstillinger (lokale og eksterne nettverk) til Child SA-oppføringer.

I noen tilfeller:

  • Child SA-oppføringene opprettes ikke

  • Eller de opprettes feil

  • Eller de lagres ikke under den første konfigurasjonen

På grunn av dette kan brannmuren ikke finne den nødvendige Child SA når den prøver å koble til, og viser feilmeldingen.

Anbefalt løsning (trinn for trinn)

  • Fjern den eksisterende Site-to-Site VPN-konfigurasjonen på begge enhetene

  • Opprett VPN-en fra bunnen av (bruk de samme parametrene PSK, algoritmer, nettverk)

Anbefalt konfigurasjonsmetode

Hvis den eksterne enheten er USG Flex (ikke H-serien, frittstående):

  • Konfigurer VPN ved hjelp av det lokale webgrensesnittet

  • Bruk klassisk policybasert IPSec

Denne metoden gir bedre kompatibilitet og mer stabil oppførsel enn å konfigurere VPN via Nebula.

Kontroller fase 2-innstillingene

Forsikre deg om at:

  • Lokale og eksterne undernett er korrekte

  • Undernettene ikke overlapper hverandre

Adressebokobjekter kan brukes, men hvis problemet vedvarer:

  • Definer nettverkene midlertidig manuelt, uten adressebokobjekter

Koble til tunnelen igjen

  • Klikk på Koble til

  • I de fleste tilfeller forsvinner feilen umiddelbart etter at tunnelen er opprettet på nytt

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.