OpenVPN como usuario sen privilexios en Windows 7

Xa vai para dous anos e medio dende que escribin a anterior entrada respecto ao cliente OpenVPN, e todo ía de marabilla ata que chegou o Windows 7 e o UAC a incordiarme.  Primeiro o cliente non funcionaba de ningunha das maneiras, e unha vez conseguín que xa o fixera o obxectivo era acadar unha execución cos mínimos privilexios posibles. As mensaxes que lía nos logs e me traían de cabeza foron varias, pero esta foi a que me rematou: The requeste operation requires elevation

Mon Jan 22 12:46:32 2011 [vpncer11] Peer Connection Initiated with xx.xx.xx.xx:1194
Mon Jan 22 12:46:35 2011 TAP-WIN32 device [Conexión de área local 2] opened: \\.\Global\{XXXXXXX}.tap
Mon Jan 22 12:46:35 2011 TAP-Win32 MTU=1500
Mon Jan 22 12:46:35 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.254.13/255.255.255.252 on interface {xxxxxxxxxxx} [DHCP-serv: 10.0.254.14, lease-time: 31536000]
La operación solicitada requiere elevación.
Mon Jan 22 12:46:37 2011 ERROR: Windows route add command failed: returned error code 1
The requested operation requires elevation.
Mon Jan 22 12:46:37 2011 ERROR: Windows route add command failed: returned error code 1
Mon Jan 22 12:46:37 2011 Initialization Sequence Completed

Non comprendía porque xa non funcionaba o grupo de operadores de configuración de red. En realidade funciona, mais UAC encargase de que non sexa efectivo. Parece que hai algunha polémica con este comportamento que evita o normal funcionamento dun grupo creado para dar a posibilidade de que os usuarios (en especial os que teñen mobilidade) poidan configurar a conexión de rede en función das súas necesidades, pero non hai outra solución que desactivar o UAC cousa que non sempre é posible ou desexable.

Despois de moito buscar e probar configuracións, estas foron algunhas das respostas boas.

Cliente OpenVPN como usuario sen privilexios en Windows 7

pode funcionar en Vista tamén)
O comezo é igual que para Windows XP pero repitoo para ter un artigo único de referencia.

  1. [Win XP - 7 ]Engadimos o(s) usuario(s) que poida(n) conectarse dende esa máquina, ao grupo Operadores de configuración de red (Network Configuration Operators).
  2. [Win XP - 7] Como mínimo damos permisos modificar e escribir (se non queremos complicarnos a vida control total) aos seguintes cartafoles:
    • %programfiles%\OpenVPN\log – Neste camiño gardase o log de conexión.
    • %programfiles%\OpenVPN\config – Nesta pasta gardanse os certificados. É recomendable que o usuario aprenda a sustituilos, cando caduquen ou sexan revogados.
  3. [Win 7] Editar a configuración e engadir ao final da mesma estas dúas liñas:
    route-method exe
    route-delay 2
  4. [Win 7] Aquí temos dúas opcións para resolver o problema da elevación (escollede unha):
    1. Desactivar UAC (non é unha opción para min pero si o pode ser para outros).
    2. Menú contextual (Botón dereito) de OpenVPN GUI -> Pestana Compatibilidad -> Marcar Ejecutar este programa en modo de compatibilidad para: -> Seleccionar dos despregable Windows XP (Service Pack 3) -> Aceptar

E así obteremos un fermoso log sen erros, coma este:

Mon Jan 23 12:25:49 2011 [vpncer11] Peer Connection Initiated with xx.xx.xx.xx:1194
Mon Jan 23 12:25:51 2011 TAP-WIN32 device [Conexión de área local 2] opened: \\.\Global\{xxxxxxx}.tap
Mon Jan 23 12:25:51 2011 TAP-Win32 MTU=1500
Mon Jan 23 12:25:51 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.254.13/255.255.255.252 on interface {xxxxxxxxx} [DHCP-serv: 10.0.254.14, lease-time: 31536000]
Mon Jan 23 12:25:51 2011 Successful ARP Flush on interface [16] {xxxxxxxx}
Correcto
Correcto
Mon Jan 23 12:25:53 2011 Initialization Sequence Completed

Publicado en Cómo amañei...?,Windows 7 | 2 Comentarios

Instalación silenciosa de clientes m4PRO e m4Conta

As veces penso que debería utilizar títulos menos descriptivos para fomentar a lectura do blog. Agora non hai que facerlle.

Se coma min tes que facer máis de dez instalacións cada vez que os amigos de Solinat deciden actualizar os clientes, vas atopar unha fantástica (e non documentada) solución aquí.

A cousa é que cos novos informes de Alta Calidad xa tiven que copiar a cada cliente os 3 ficheiriños app de marras, que coa axuda dun script de inicio ou ben co package deployment do OCS Inventory NG se distribuen sen problema, pero non desta volta requerían a actualización de todos os clientes e non servía o meu script anterior.

Por sorte mentres procuraba (aínda sigo) un xeito de despregar a nova versión do PDF Creator, sen a toolbar e familiariceime cos parámetros básicos.

A casualidade fixo que cando fun comprobar a versión do cliente para enviar un correo solicitando (novamente) que agregaran a posiblidade de realizar unha instalación de clientes desatendida, atopei esta agradable sorpresa.

This installation was built with Inno Setup. O mesmo instalador co PDF Creator!. Con estes parámetros como referencia fixen as miña probas e aquí está o resultado:

m4PRO.RED.exe /verysilent /log="c:/solinat/m4PRO.RED/tmp/m4PRO_ins.log"

Para rematar unha breve explicación dos parámetros:

/verysilent : Permite a instalación completamente desatendida.

/log=”<nomeficheiro>” : é opcional pero sempre esta ben saber que foi o que se instalou ademáis de axudar a detectar erros en caso de fallo durante a instalación. Nesta ocasión, por exemplo, servíronme para ver que os ficheiros dos novos informes xa viñan nesta instalación.

2010-01-17 12:53:55.067   — File entry –
2010-01-17 12:53:55.067   Dest filename: C:\SOLINAT\m4CONTA.RED\ReportBuilder.app
2010-01-17 12:53:55.067   Time stamp of our file: 2007-09-21 12:20:36.000
2010-01-17 12:53:55.067   Dest file exists.
2010-01-17 12:53:55.067   Time stamp of existing file: 2007-09-21 12:20:36.000
2010-01-17 12:53:55.067   Installing the file.
2010-01-17 12:53:55.083   Successfully installed the file.
2010-01-17 12:53:55.083   — File entry –
2010-01-17 12:53:55.083   Dest filename: C:\SOLINAT\m4CONTA.RED\ReportOutput.app
2010-01-17 12:53:55.083   Time stamp of our file: 2007-09-21 12:20:40.000
2010-01-17 12:53:55.083   Dest file exists.
2010-01-17 12:53:55.083   Time stamp of existing file: 2007-09-21 12:20:40.000
2010-01-17 12:53:55.083   Installing the file.
2010-01-17 12:53:55.099   Successfully installed the file.
2010-01-17 12:53:55.099   — File entry –
2010-01-17 12:53:55.099   Dest filename: C:\SOLINAT\m4CONTA.RED\ReportPreview.app
2010-01-17 12:53:55.099   Time stamp of our file: 2007-09-21 12:20:38.000
2010-01-17 12:53:55.099   Dest file exists.
2010-01-17 12:53:55.099   Time stamp of existing file: 2007-09-21 12:20:38.000
2010-01-17 12:53:55.099   Installing the file.
2010-01-17 12:53:55.099   Successfully installed the file.

Publicado en Cómo amañei...?,m4PRO | Comentarios cerrados

OfficeScan non se instala por mor dunha presenza pantasma de VirusScan

Para non quedar a durmir o primeiro día despois das vacacións, programei unha xuntanza para que me formaran minimamente nas opcións básicas de Trend Micro OfficeScan. Dúas horas pendurado do Skype para obter os alicerces dunha correcta migración dende McAfee VirusScan.

Mais coma sempre, as cousas non son doadas, e menos cando se fala de solucións de seguridade. O OfficeScan non se instalou co script; nin o fixo remotamente dende a consola web; tampouco utilizando a ligazón do servidor e na derradeira posibilidade, o instalación a partires dun pacote, dou o erro máis informativo:

Error. Although OfficeScan supports automatic uninstallation of ePOAgent3000, Setup encountered prolems with the uninstaller program. Please remove ePOAgent3000 manually before installing Trend Micro OfficeScan Client. Setup will now terminate.

Como non quedaba rastro de servizos nin ficheiros nos camiños por defecto, comecei a procura no rexistro. Limpei o que atopei relacionado con VirusScan e McAfee, pero o erro persistía. Esta entrada doume a pista que precisaba.
A solución pasaba por eliminar esta chave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates]

(e as que colgan dela):
[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator]
"LogLevel"=dword:00000007
"LogSize"=dword:00000001
"LogHiRes"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Application Plugins]
[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Application Plugins\EPOAGENT3000]
"PluginPkgInstallDate"="20080421170635"
"PluginPkgVersion"="20080205201339"

A ver se un día me animo e fago unha escolma cas solucións que máis utilicei con McAfee. Que non as precise non quere dicir que non lle sirvan a ninguén.

Publicado en Cómo amañei...?,Trend Micro OfficeScan | Comentarios cerrados

O mundo ao revés: Migrando o correo de Mozilla Thunderbird a Ms Outlook

Nota: Esta entrada está baseada nesta outra, na que se utiliza a aplicación IMAPSize, unha ferramenta indispensable, para xestionar correo, copias de seguridade, etc, directamente nos servidores, e que podes utilizar para mover o teu correo IMAP de un servidor a outro por exemplo.

Non creo que esta anotación vaia ser moi popular, pero penso que o ideal é poder levar os teus correos dun lado para outro sen depender da aplicación que elixas para xestionala. Mozilla Thunderbird é un magnífico xestor de correo que agora mesmo vai pola versión 2.0.0.18, e estamos a utilizalo no traballo todos. Todos?. Todos non, hai un grupo de irredutibles xefes que queren utilizar o Ms Outlook, e coma onde hai patrón non manda mariñeiro, tiven que buscar o xeito de crear PST en momentos puntuais para que os puideran abrir nesa aplicación. Sendo esta a terceira vez que o fago, decidín documentalo para refrescar a memoria cando teña a necesidad e por se é de utilidade para alguén.

Qué precisamos?

  • Thunderbird cos datos que queremos converter
  • Extensión SmartSave
  • Outlook Express (si amigos, ese nefasto cliente. Se tes XP seguro que anda por aí).
  • Microsoft Outlook. Eu utilicei a versión 2007 pero coido que non hai problema con isto.
  • Adiante!

    Cando tiven por primeira vez este problema fixen a migración con IMAPSize e despois co complemento de Thunderbird SmartSave. A vantaxe do segundo fronte ao primeiro é que en IMAPSize vas realizando os pasos cartafol a cartafol, e no caso dunha árbore complexa (que era o meu caso), tiven que crear manualmente a estrutura e logo ir convertendo unha a unha, co que acabei un pouco cheo do procedemento, mentres que con SmartSave só seleccionas a conta, e xa se encarga de converter cada correo a .eml e no seu cartafoliño, cun par de golpes de rato. En resume, se vas converter enviados e recibidos, non vas notar diferenza, en caso contrario SmartSave.

    Imos aló entón.

    Primeiro instalamos o complemento ou extensión SmartSave, como calquera outro. Reiniciamos o Thunderbird e xa estará operativo.

    A continaución compactamos os cartafoles, facendo click co botón dereito sobre eles, e premendo en Compactar ;-)

    Unha vez rematado, prememos co boton dereito enriba da conta e prememos na opción: Exportar esta carpeta con SmartSave.



    Seleccionamos un camiño onde gardar os ficheiros .eml xerados, e agardamos deica o informe final.


    Convén botarlle un ollo porque poden aparecer erros normalmente debidos a nomes de cartafoles con símbolos non permitidos com a barra inclinada (/). Se todo está OK, continuamos.

    Agora executamos o Outlook Express e arrastramos os eml creados cartafol a cartafol. Se a estructura é complexa, débesese crear antes no Outlook. Esta parte é a máis tediosa, polo que recomendo, facer un mosaico na pantalla co outlook e un explorador aberto na pasta correspondente, armarse de paciencia e comezar: Ctrl+E para seleccionar todos os elementos, e arrastrar ao seu destino, as veces que fose necesario.

    Se o teu destino é OE xa rematache. Se pola contra, queremos facer un PST  e levalo a Outlook exportamos de OE a MO: Archivo -> Exportar -> Mensajes -> Seleccionar o perfil e listo. Agora tes os datos no Outlook do equipo no que se procesaron. Exportar o PST e entregarllo ao seu destinatario é o paso final. Quedou claro?

    Publicado en Aplicacións,Cómo amañei...?,Mozilla.org,Windows XP | 2 Comentarios

    OpenVPN como usuario non administrador

    O título é suficientemente descriptivo, penso, pero para os despistados deixo un avisiño. Está completamente fora desta entrada a configuración dun servidor por dous motivos:

    1. Xa o teño configurado na IPBrick.
    2. Non sabería nin como empezar ;-).

    Antecedentes

    Cando me presentaron a posibilidade de que a IPBrick utilizara OpenVPN como sustituto da antiga PPTP, pareceume unha fantástica idea, e en canto tiven algún tempo púxenme a fedellar con ela. Pronto petei co primeiro problema, a versión oficial do cliente OpenVPN v.2.0.9 obrigaba a que o usuario que o executara pertencera ao grupo Administradores, ou seguir estes consellos que non facían moi práctica a implantación, cousa que me obrigou a buscar solucións parciais, coma o uso de sudowin, para executar o cliente, que afortunadamente non foron necesarias, porque a fináis de xaneiro saiu a beta 2.1 rc7, e doume por probala. Usar en producción unha beta non é un bo costume, pero a necesidade obrigou e a deusa fortuna estivo do meu lado.

    Entre as súas melloras da versión 2.1 están:

    • Soporte de Windows Vista (que pode ser interesante para alguén)
    • Integrado OpenVPN GUI co que cunha soa instalación queda listo o equipo para o cliente
    • O máis importante para min, que xa o podían usar usuarios básicos.

    A cousa é bastante bonita de entrada, mais hai que ter en conta uns pasiños para que funcione correctamente, sendo este o fin desta entrada.

    Instalación cliente OpenVPN

    1. Baixamos o executable da versión 2.1.
    2. Instalamos o cliente na máquina desexada (cun usuario con privilexios).
    3. Engadimos o(s) usuario(s) que poida(n) conectarse dende esa máquina, ao grupo Operadores de configuración de red (Network Configuration Operators).
    4. Como mínimo damos permisos modificar e escribir (se non queremos complicarnos a vida control total) aos seguintes cartafoles:
      • %programfiles%\OpenVPN\log – Neste camiño gardase o log de conexión.
      • %programfiles%\OpenVPN\config – Nesta pasta gardanse os certificados. É recomendable que o usuario aprenda a sustituilos, cando caduquen ou sexan revogados.
    5. Para facilitar a xestión, pasar os atallos creados no perfil do administrador, ao Menú de inicio de All Users ou ben ao dos usuarios que o van utilizar.

    Como de costume, agardo que alguén lle saque proveito.

    Atopei algunhas curiosas solucions ao problema por ai, ainda que sigo a preferir a miña:

    Publicado en Cómo amañei...?,IPBrick,Windows XP | 3 Comentarios