IPSec VPN между сайтами — конфигурация CHILD_SA «<name> » не найдена на

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый клиент, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если у вас есть вопросы или замечания по поводу точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Оригинальная версия

В этой статье объясняется, когда на брандмауэрах Zyxel может появляться ошибка CHILD_SA config '' not found, почему это происходит и какие меры можно принять для ее устранения. Обычно эта проблема вызвана не неправильными настройками VPN, а тем, как брандмауэр внутренне создает конфигурацию фазы 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Описание ошибки

При попытке установить VPN IPSec «сайт-сайт» на брандмауэре Zyxel появляется следующее сообщение об ошибке

Команда не выполнена: CHILD_SA config '' not found

Ошибка чаще всего возникает при нажатии кнопки «Подключить», даже если все параметры VPN выглядят правильными в графическом интерфейсе.

Что означает эта ошибка?

Эта ошибка указывает на то, что фаза 2 (Child SA) — часть конфигурации VPN, которая определяет локальные и удаленные подсетине была создана или не была правильно сохранена внутри брандмауэра.

Важные замечания:

  • Даже если в интерфейсе отображаются правильные сети

  • Даже если в адресной книге выбраны те же IP-адреса

Внутренний объект дочернего SA может отсутствовать или быть поврежден.

Когда эта проблема возникает чаще всего?

Эта ошибка чаще всего возникает в следующих сценариях:

  • Первый VPN-туннель на новом или недавно установленном брандмауэре

  • Использование объектов адресной книги для селекторов фазы 2

  • Смешанные среды, например:

    • H-Series (управляемый Nebula) ↔ USG Flex (автономный)

  • VPN настроен через Nebula, а удаленное устройство не является H-Series

  • Конфигурация VPN была создана, но не применена должным образом (Применить)

Почему это происходит

Брандмауэр внутренне преобразует настройки фазы 2 (локальные и удаленные сети) в записи дочерних SA.

В некоторых случаях:

  • Записи Child SA не создаются

  • Или они созданы неверно

  • Или они не сохраняются во время первой настройки

Из-за этого, когда брандмауэр пытается подключиться, он не может найти необходимую дочернюю SA и выдает ошибку.

Рекомендуемое решение (пошаговое)

  • Удалите существующую конфигурацию VPN «Сайт-сайт» на обоих устройствах

  • Создайте VPN с нуля (используйте те же параметры PSK, алгоритмы, сети)

Рекомендуемый метод настройки

Если удаленное устройство — USG Flex (не серии H, автономное):

  • Настройте VPN с помощью локального веб-интерфейса

  • Используйте классический IPSec на основе политик

Этот метод обеспечивает лучшую совместимость и более стабильную работу, чем настройка VPN через Nebula.

Проверьте настройки фазы 2

Убедитесь, что:

  • Локальные и удаленные подсети указаны правильно

  • Подсети не пересекаются

Объекты адресной книги можно использовать, но если проблема не устраняется:

  • Временно определите сети вручную, без объектов адресной книги

Снова подключите туннель

  • Нажмите «Подключиться»

  • В большинстве случаев ошибка исчезает сразу после повторного создания туннеля

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.