IPSec VPN medzi lokalitami – konfigurácia CHILD_SA „<name> “ nebola nájdená na

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Vážený zákazník, upozorňujeme, že na poskytovanie článkov vo vašom miestnom jazyku používame strojový preklad. Nie všetky texty môžu byť preložené presne. Ak máte otázky alebo pochybnosti o presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu:Pôvodná verzia

Tento článok vysvetľuje, kedy sa môže na firewalloch Zyxel objaviť chyba CHILD_SA config '' not found, prečo k nej dochádza a aké kroky je možné podniknúť na jej vyriešenie. Problém zvyčajne nespôsobujú nesprávne nastavenia VPN, ale spôsob, akým firewall interne vytvára konfiguráciu fázy 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Popis chyby

Pri pokuse o vytvorenie Site-to-Site IPSec VPN na Zyxel Firewall sa zobrazí nasledujúca chybová správa

Príkaz sa nepodaril: CHILD_SA config '' not found

Chyba sa najčastejšie vyskytuje pri kliknutí na tlačidlo „Pripojiť“, aj keď všetky parametre VPN vyzerajú v grafickom rozhraní správne.

Čo táto chyba znamená?

Táto chyba znamená, že fáza 2 (Child SA) – časť konfigurácie VPN, ktorá definuje lokálne a vzdialené podsietenebola vytvorená alebo nebola správne uložená vo vnútri firewallu.

Dôležité poznámky:

  • Aj keď sa v rozhraní zobrazujú správne siete

  • Aj keď sú z adresára vybrané rovnaké IP adresy

Vnútorný objekt Child SA môže chýbať alebo môže byť poškodený.

Kedy sa tento problém vyskytuje najčastejšie?

Táto chyba sa vyskytuje častejšie v nasledujúcich prípadoch:

  • Prvý tunel VPN na novom alebo nedávno nainštalovanom firewalle

  • Použitie objektov adresára pre selektory fázy 2

  • Zmiešané prostredia, napríklad:

    • H-Series (Nebula-spravované) ↔ USG Flex (samostatné)

  • VPN nakonfigurovaná prostredníctvom Nebula, pričom vzdialené zariadenie nie je H-Series

  • Konfigurácia VPN bola vytvorená, ale nebola správne aplikovaná (Aplikovať)

Prečo k tomu dochádza

Firewall interne konvertuje nastavenia fázy 2 (lokálne a vzdialené siete) na položky Child SA.

V niektorých prípadoch:

  • Záznamy Child SA nievytvorené

  • Alebo sú vytvorené nesprávne

  • Alebo nieuložené počas prvého nastavenia

Z tohto dôvodu, keď sa firewall pokúsi pripojiť, nemôže nájsť požadované Child SA a zobrazí chybu.

Odporúčané riešenie (krok za krokom)

  • Odstráňte existujúcu konfiguráciu Site-to-Site VPN na oboch zariadeniach

  • Vytvorte VPN od začiatku (použite rovnaké parametre PSK, algoritmy, siete)

Odporúčaná metóda konfigurácie

Ak je vzdialené zariadenie USG Flex (nie H-Series, samostatné):

  • Konfigurujte VPN pomocou lokálneho webového grafického rozhrania

  • Použite klasické IPSec založené na politikách

Táto metóda poskytuje lepšiu kompatibilitu a stabilnejšie správanie ako konfigurácia VPN prostredníctvom Nebula.

Skontrolujte nastavenia fázy 2

Uistite sa, že:

  • Lokálne a vzdialené podsiete sú správne

  • Podsiete sa neprekrývajú

Objekty adresára je možné použiť, ale ak problém pretrváva:

  • Dočasne definujte siete ručne, bez objektov adresára

Znovu pripojte tunel

  • Kliknite na Pripojiť

  • Vo väčšine prípadov chyba zmizne ihneď po opätovnom vytvorení tunela

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
0 z 0 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.