VPN IPSec typu site-to-site — nie znaleziono konfiguracji CHILD_SA „<name> ”

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Szanowny Kliencie, informujemy, że korzystamy z tłumaczenia maszynowego, aby udostępniać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

W tym artykule wyjaśniono, kiedy błąd CHILD_SA config '' not found może pojawić się w zaporach sieciowych Zyxel, dlaczego tak się dzieje i jakie kroki można podjąć, aby go rozwiązać. Problem ten zazwyczaj nie jest spowodowany nieprawidłowymi ustawieniami VPN, ale sposobem, w jaki zapora sieciowa tworzy wewnętrznie konfigurację fazy 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Opis błędu

Podczas próby ustanowienia połączenia Site-to-Site IPSec VPN na zaporze Zyxel pojawia się następujący komunikat o błędzie

Polecenie nie powiodło się: Nie znaleziono konfiguracji CHILD_SA „ ”.

Błąd ten występuje najczęściej po kliknięciu przycisku „Połącz”, nawet jeśli wszystkie parametry VPN wyglądają poprawnie w interfejsie graficznym.

Co oznacza ten błąd?

Błąd ten oznacza, że faza 2 (Child SA) — część konfiguracji VPN, która definiuje lokalne i zdalne podsiecinie została utworzona lub nie została poprawnie zapisana w zaporze sieciowej.

Ważne uwagi:

  • Nawet jeśli w interfejsie wyświetlane są prawidłowe sieci

  • Nawet jeśli wybrano te same adresy IP z książki adresowej

Wewnętrzny obiekt Child SA może być brakujący lub uszkodzony.

Kiedy ten problem występuje najczęściej?

Ten błąd występuje częściej w następujących sytuacjach:

  • Pierwszy tunel VPN na nowej lub niedawno zainstalowanej zaporze ogniowej

  • Korzystanie z obiektów książki adresowej dla selektorów fazy 2

  • Środowiska mieszane, na przykład:

    • Seria H (zarządzana przez Nebula) ↔ USG Flex (samodzielna)

  • VPN skonfigurowany za pomocą Nebula, podczas gdy urządzenie zdalne nie należy do serii H

  • Konfiguracja VPN została utworzona, ale nie została prawidłowo zastosowana (Zastosuj)

Dlaczego tak się dzieje

Zapora sieciowa wewnętrznie konwertuje ustawienia fazy 2 (sieci lokalne i zdalne) na wpisy Child SA.

W niektórych przypadkach:

  • Wpisy Child SA nietworzone

  • Lub są tworzone nieprawidłowo

  • Lub niezapisywane podczas pierwszej konfiguracji

Z tego powodu, gdy zapora sieciowa próbuje się połączyć, nie może znaleźć wymaganego Child SA i wyświetla błąd.

Zalecane rozwiązanie (krok po kroku)

  • Usuń istniejącą konfigurację VPN typu Site-to-Site na obu urządzeniach

  • Utwórz VPN od podstaw (użyj tych samych parametrów PSK, algorytmów, sieci)

Zalecana metoda konfiguracji

Jeśli urządzeniem zdalnym jest USG Flex (nie z serii H, samodzielne):

  • Skonfiguruj VPN za pomocą lokalnego interfejsu GUI

  • Użyj klasycznego IPSec opartego na zasadach

Ta metoda zapewnia lepszą kompatybilność i bardziej stabilne działanie niż konfiguracja sieci VPN za pomocą Nebula.

Sprawdź ustawienia fazy 2

Upewnij się, że:

  • Lokalne i zdalne podsieci są poprawne

  • Podsieci nie nakładają się

Można używać obiektów książki adresowej, ale jeśli problem nadal występuje:

  • Tymczasowo zdefiniuj sieci ręcznie, bez obiektów książki adresowej

Ponownie połącz tunel

  • Kliknij Połącz

  • W większości przypadków błąd znika natychmiast po ponownym utworzeniu tunelu

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.