Site-to-Site IPSec VPN - CHILD_SA-konfiguration '<name>' hittades inte på

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, var vänlig notera att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. All text kanske inte översätts korrekt. Om du har frågor eller upptäcker avvikelser i informationen i den översatta versionen, vänligen läs originalartikeln här:Originalversion

Denna artikel förklarar när felet CHILD_SA config '' not found kan uppstå på Zyxel-brandväggar, varför det inträffar och vilka åtgärder som kan vidtas för att lösa det. Problemet orsakas vanligtvis inte av felaktiga VPN-inställningar, utan av hur brandväggen internt skapar konfigurationen för fas 2 (Child SA).

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Felbeskrivning

När du försöker upprätta en Site-to-Site IPSec VPN på en Zyxel-brandvägg visas följande felmeddelande

Kommandot misslyckades: CHILD_SA-konfiguration '' hittades inte

Felet uppstår oftast när du klickar på knappen ”Anslut”, även om alla VPN-parametrar ser korrekta ut i GUI.

Vad betyder detta fel?

Det här felet indikerar att fas 2 (Child SA) – den del av VPN-konfigurationen som definierar de lokala och fjärranslutna subnäteninte skapades eller inte sparades korrekt i brandväggen.

Viktiga anmärkningar:

  • Även om rätt nätverk visas i gränssnittet

  • Även om samma IP-adresser är valda från adressboken

Det interna Child SA-objektet kan saknas eller vara skadat.

När inträffar detta problem oftast?

Det här felet är vanligare i följande scenarier:

  • Den första VPN-tunneln på en ny eller nyligen installerad brandvägg

  • Användning av adressboksobjekt för fas 2-selektorer

  • Blandade miljöer, till exempel:

    • H-serien (Nebula-hanterad) ↔ USG Flex (fristående)

  • VPN konfigurerat via Nebula, medan den fjärranslutna enheten inte är H-serien

  • VPN-konfigurationen skapades men tillämpades inte korrekt (Apply)

Varför detta händer

Brandväggen konverterar internt fas 2-inställningar (lokala och fjärrnätverk) till Child SA-poster.

I vissa fall:

  • Underordnade SA-poster skapas inte

  • Eller så skapas de felaktigt

  • Eller så sparas de inte under den första installationen

På grund av detta kan brandväggen inte hitta den nödvändiga Child SA när den försöker ansluta och visar felmeddelandet.

Rekommenderad lösning (steg för steg)

  • Ta bort den befintliga Site-to-Site VPN-konfigurationen på båda enheterna

  • Skapa VPN från grunden (använd samma parametrar PSK, algoritmer, nätverk)

Rekommenderad konfigurationsmetod

Om den fjärranslutna enheten är USG Flex (icke H-serien, fristående):

  • Konfigurera VPN med hjälp av det lokala webbgränssnittet

  • Använd klassisk policybaserad IPSec

Denna metod ger bättre kompatibilitet och stabilare beteende än att konfigurera VPN via Nebula.

Kontrollera inställningarna för fas 2

Se till att:

  • Lokala och fjärranslutna subnät är korrekta

  • Undernäten inte överlappar varandra

Adressboksobjekt kan användas, men om problemet kvarstår:

  • Definiera nätverken manuellt tillfälligt, utan adressboksobjekt

Anslut tunneln igen

  • Klicka på Anslut

  • I de flesta fall försvinner felet omedelbart efter att tunneln har skapats på nytt

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
0 av 0 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.