VPN IPSec typu site-to-site — nie znaleziono konfiguracji CHILD_SA „<name> ”

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Notificare importantă:
Stimate client, vă rugăm să rețineți că utilizăm traducerea automată pentru a vă oferi articole în limba dvs. locală. Este posibil ca nu tot textul să fie tradus cu acuratețe. Dacă aveți întrebări sau observații cu privire la acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici:Versiunea originală

Acest articol explică când poate apărea eroarea CHILD_SA config '' not found pe firewall-urile Zyxel, de ce se întâmplă acest lucru și ce măsuri pot fi luate pentru a o rezolva. De obicei, problema nu este cauzată de setări VPN incorecte, ci de modul în care firewall-ul creează intern configurația Phase 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Descrierea erorii

Când se încearcă stabilirea unei conexiuni VPN IPSec site-to-site pe un firewall Zyxel, apare următorul mesaj de eroare

Comanda a eșuat: CHILD_SA config '' nu a fost găsită

Eroarea apare cel mai adesea atunci când faceți clic pe butonul „Conectare”, chiar dacă toți parametrii VPN par corecte în GUI.

Ce înseamnă această eroare?

Această eroare indică faptul că faza 2 (Child SA) — partea din configurația VPN care definește subrețelele locale și la distanțănu a fost creată sau nu a fost salvată corect în firewall.

Note importante:

  • Chiar dacă rețelele corecte sunt afișate în interfață

  • Chiar dacă sunt selectate aceleași adrese IP din Agenda de adrese

Obiectul SA secundar intern poate lipsi sau poate fi corupt.

Când apare cel mai des această problemă?

Această eroare este mai frecventă în următoarele scenarii:

  • Primul tunel VPN pe un firewall nou sau recent instalat

  • Utilizarea obiectelor din agenda de adrese pentru selectorii din faza 2

  • Mediile mixte, de exemplu:

    • Seria H (Nebula-managed) ↔ USG Flex (autonom)

  • VPN configurat prin Nebula, în timp ce dispozitivul la distanță nu este din seria H

  • Configurația VPN a fost creată, dar nu a fost aplicată corect (Aplicare)

De ce se întâmplă acest lucru

Firewall-ul convertește intern setările din faza 2 (rețele locale și la distanță) în intrări SA secundare.

În unele cazuri:

  • Intrările Child SA nu sunt create

  • Sau sunt create incorect

  • Sau nu sunt salvate în timpul primei configurări

Din această cauză, când firewall-ul încearcă să se conecteze, nu poate găsi SA secundar necesar și afișează eroarea.

Soluție recomandată (pas cu pas)

  • Eliminați configurația VPN Site-to-Site existentă de pe ambele dispozitive

  • Creați VPN-ul de la zero (utilizați aceiași parametri PSK, algoritmi, rețele)

Metoda de configurare recomandată

Dacă dispozitivul la distanță este USG Flex (non H-Series, autonom):

  • Configurați VPN-ul utilizând interfața grafică web locală

  • Utilizați IPSec clasic bazat pe politici

Această metodă oferă o compatibilitate mai bună și un comportament mai stabil decât configurarea VPN-ului prin Nebula.

Verificați setările din faza 2

Asigurați-vă că:

  • Subrețelele locale și la distanță sunt corecte

  • Subrețelele nu se suprapun

Obiectele din agenda de adrese pot fi utilizate, dar dacă problema persistă:

  • Definiți temporar rețelele manual, fără obiectele din Agenda de adrese

Conectați din nou tunelul

  • Faceți clic pe Conectare

  • În majoritatea cazurilor, eroarea dispare imediat după recrearea tunelului

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
0 din 0 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.