OpenVPN como usuario sen privilexios en Windows 7

Xa vai para dous anos e medio dende que escribin a anterior entrada respecto ao cliente OpenVPN, e todo ía de marabilla ata que chegou o Windows 7 e o UAC a incordiarme.  Primeiro o cliente non funcionaba de ningunha das maneiras, e unha vez conseguín que xa o fixera o obxectivo era acadar unha execución cos mínimos privilexios posibles. As mensaxes que lía nos logs e me traían de cabeza foron varias, pero esta foi a que me rematou: The requeste operation requires elevation

Mon Jan 22 12:46:32 2011 [vpncer11] Peer Connection Initiated with xx.xx.xx.xx:1194
Mon Jan 22 12:46:35 2011 TAP-WIN32 device [Conexión de área local 2] opened: \\.\Global\{XXXXXXX}.tap
Mon Jan 22 12:46:35 2011 TAP-Win32 MTU=1500
Mon Jan 22 12:46:35 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.254.13/255.255.255.252 on interface {xxxxxxxxxxx} [DHCP-serv: 10.0.254.14, lease-time: 31536000]
La operación solicitada requiere elevación.
Mon Jan 22 12:46:37 2011 ERROR: Windows route add command failed: returned error code 1
The requested operation requires elevation.
Mon Jan 22 12:46:37 2011 ERROR: Windows route add command failed: returned error code 1
Mon Jan 22 12:46:37 2011 Initialization Sequence Completed

Non comprendía porque xa non funcionaba o grupo de operadores de configuración de red. En realidade funciona, mais UAC encargase de que non sexa efectivo. Parece que hai algunha polémica con este comportamento que evita o normal funcionamento dun grupo creado para dar a posibilidade de que os usuarios (en especial os que teñen mobilidade) poidan configurar a conexión de rede en función das súas necesidades, pero non hai outra solución que desactivar o UAC cousa que non sempre é posible ou desexable.

Despois de moito buscar e probar configuracións, estas foron algunhas das respostas boas.

Cliente OpenVPN como usuario sen privilexios en Windows 7

pode funcionar en Vista tamén)
O comezo é igual que para Windows XP pero repitoo para ter un artigo único de referencia.

  1. [Win XP – 7 ]Engadimos o(s) usuario(s) que poida(n) conectarse dende esa máquina, ao grupo Operadores de configuración de red (Network Configuration Operators).
  2. [Win XP – 7] Como mínimo damos permisos modificar e escribir (se non queremos complicarnos a vida control total) aos seguintes cartafoles:
    • %programfiles%\OpenVPN\log – Neste camiño gardase o log de conexión.
    • %programfiles%\OpenVPN\config – Nesta pasta gardanse os certificados. É recomendable que o usuario aprenda a sustituilos, cando caduquen ou sexan revogados.
  3. [Win 7] Editar a configuración e engadir ao final da mesma estas dúas liñas:
    route-method exe
    route-delay 2
  4. [Win 7] Aquí temos dúas opcións para resolver o problema da elevación (escollede unha):
    1. Desactivar UAC (non é unha opción para min pero si o pode ser para outros).
    2. Menú contextual (Botón dereito) de OpenVPN GUI -> Pestana Compatibilidad -> Marcar Ejecutar este programa en modo de compatibilidad para: -> Seleccionar dos despregable Windows XP (Service Pack 3) -> Aceptar

E así obteremos un fermoso log sen erros, coma este:

Mon Jan 23 12:25:49 2011 [vpncer11] Peer Connection Initiated with xx.xx.xx.xx:1194
Mon Jan 23 12:25:51 2011 TAP-WIN32 device [Conexión de área local 2] opened: \\.\Global\{xxxxxxx}.tap
Mon Jan 23 12:25:51 2011 TAP-Win32 MTU=1500
Mon Jan 23 12:25:51 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.254.13/255.255.255.252 on interface {xxxxxxxxx} [DHCP-serv: 10.0.254.14, lease-time: 31536000]
Mon Jan 23 12:25:51 2011 Successful ARP Flush on interface [16] {xxxxxxxx}
Correcto
Correcto
Mon Jan 23 12:25:53 2011 Initialization Sequence Completed

Publicado en Cómo amañei...?,Windows 7 | 2 Comentarios