# 8207 VPN Verbindung



## Vertipper (14 Januar 2019)

Hallo, ich bitte euch mal um Hilfe, da ich inzwischen bei jedem Weg in einer Sackgasse stecke.  

Nach langem basteln habe ich eine VPN (IPSEK V2) Verbindung zwischen einem 8207 (dynamische IP) zu einem LanCom Router hinbekommen.
Hinter dem Router steckt ein zweiter WAGO Controller und ich kommuniziere über Netzvariablen. Das Ganze mit e!Cockpit.

1. Leider funktioniert hier das Rekeying der VPN Verbindung nicht. Ich bekomme immer die Meldung "NO_PROPOLAS_CHOOSEN notify, no CHILD_SA built"
2. Nun habe ich die Gültigkeit des Keys extrem hochgesetzt aber wenn die Verbinidung aus einem anderen Grund abbricht, verbindet er nicht automatisch neu.
3. Also war mein Ansatz ich Überwache die Netzvariablen und starte den Verbindungsaufbau über das SPS Programm mit Hifle des FbConfigTool.
Dazu starte ich ein Script in welchem der Befehl "ipsec restart" steht.
4. Laut Anleitung von Strongswan beendet er den "Starter" und den "charon" Dienst und startet beides neu, leider beendet er nur den "Starter" und die Verbindung wird nicht neu aufgebaut, da der Dienst weiterhin bestehen bleibt.
5. der nächste Ansatz war über das Script den Dienst "killall charon" direkt zu beenden und anschliessend "ipsec restart" aufzurufen.  Manuell im Terminal funktioniert das. Ãœber FbConfigTool wird allerdings die CPU Auslastung an die Grenze getrieben und der Watchdog des SPS Programms spricht an. Der Task in dem das aufgerufen wird hat Prio 15 und 100ms Intervall.

Folgend der Aufruf im SPS Programm, das Script und die ipsec.conf
Das ist eine Baustelle, wo inzwischen schon zig Stunden reingeflossen sind. Es wäre super wenn mir jemand helfen könnte.
Wenn wenigstens einer der Punkte funktionieren würde ...

Aufruf SPS:

```
//Restart VPN
_FbConfigTool( xExecute     := _ton_vpn_offline.Q,             // start the call once
               sCallString  := 'restartipsek',
               sResultString => _sResult                       // get the result
              );
```

script restartipsek:

```
sudo killall charon
sudo ipsec restart
```

ipsec.conf:

```
# ipsec.conf - strongSwan IPsec configuration file

conn %default
        ikelifetime=7000m
        keylife=5000m
        rekeymargin=5m
        keyingtries=%forever
        keyexchange=ikev2
        authby=psk
        dpdaction=restart
        dpddelay=20s
        dpdtimeout=40s
  
conn home
        left=%defaultroute
        leftfirewall=yes
        leftid=Fernwirk-Wago
        leftauth=psk
        right=xxx.xxx.xxx.xxx
        rightsubnet=xxx.xxx.xxx.xxx/24
        rightid=Fernwirk
        rightauth=psk
        auto=start
        leftsourceip=%config
```


----------



## Vertipper (17 Januar 2019)

Ach kommt schon,
ich kann doch nicht der einzige sein der soetwas machen möchte. 
Der 3G Controller schreit doch förmlich danach als Aussenstelle Daten über VPN zu schicken.


----------



## dieselente (27 Februar 2020)

Hallo Vertipper,

hast du es mittlerweile geschafft den Wago per VPN direkt mit dem Lancom zu verbinden? Seit einiger Zeit versuche ich selbiges, scheitere aber kläglich daran :sad:


----------



## Vertipper (28 Februar 2020)

Hallo dieselende,

ja habe ich und es war ein langer Weg.

Eine Echte VPN Netzwerkverbindung habe ich nicht hinbekommen aber eine Client Einwahl.

Das Rekeying funktioniert allerdings immernoch nicht, sodass ich die Key-Gültigkeit auf eine Ehwigkeit gesetzt habe.
Dann hat der Controller alle paar Tage die GSM Verbindung verloren und nicht mehr von allein aufgebaut -> Neustart nötig
Also pinge ich per Cronjob alle paar Minuten die VPN Gegenstellt an und teste auf Internetverbindung. Je nach dem Starte ich den IPSec Dienst neu bzw. starte das komplette Modem neu. Die Befehlsfolge für den Modemneustart habe ich hier im Forum gefunden. 
Nach dem Neustart des Modems verliert das SPS Programm aber die Verbindung zum Modem, muss also auch neu aufgebaut werden. Eine unterbrochende Verbindung des SPS Bausteins bekomme ich aber nicht gemeldet sondern polle regelmässig die Signalstärke und wenn dort keine Antwort mehr kommt dann ...
Problem ist ja, dass das eine auf Linux Ebene und das andere auf SPS Ebene geschieht.

Wenn Du das wirklich auf dich nehmen willst, kann ich Dir die ipsek dateien schicken. Die Lancom Konfig hat allerdings unser Admin gemacht, da kann ich nicht viel zu sagen.


----------



## dieselente (28 Februar 2020)

Freut mich, dass du eine Lösung gefunden hast.
Aktuell habe ich mehrere PFC-100 im Feld im Einsatz. damit diese mit der Zentrale kommunizieren können habe ich vor jedem einen Lancom Router installiert, welcher dann die VPN Verbindung aufbaut mittels IKEv2-PSK . Nun ist der Preisunterschied zwischen einem PFC100 und 200 ist nun aber deutlich geringer als der Preis eines Lancom Routers. 
Das netz hinter dem Wago muss für mich nicht erreichbar sein, somit ist eine Einwahlverbindung vollkommen ausreichend. Die IPSEC Dateien nehme ich dir sehr gerne ab


----------



## Vertipper (28 Februar 2020)

Ich schicke Dir eine WORD Datei mit dem Inhalt der Configfliles, Cronjob und eine kleine Erläuterung dazu per PM.


----------

