OpenVPN como usuario sen privilexios en Windows 7

Xa vai para dous anos e medio dende que escribin a anterior entrada respecto ao cliente OpenVPN, e todo ía de marabilla ata que chegou o Windows 7 e o UAC a incordiarme.  Primeiro o cliente non funcionaba de ningunha das maneiras, e unha vez conseguín que xa o fixera o obxectivo era acadar unha execución cos mínimos privilexios posibles. As mensaxes que lía nos logs e me traían de cabeza foron varias, pero esta foi a que me rematou: The requeste operation requires elevation

Mon Jan 22 12:46:32 2011 [vpncer11] Peer Connection Initiated with xx.xx.xx.xx:1194
Mon Jan 22 12:46:35 2011 TAP-WIN32 device [Conexión de área local 2] opened: \\.\Global\{XXXXXXX}.tap
Mon Jan 22 12:46:35 2011 TAP-Win32 MTU=1500
Mon Jan 22 12:46:35 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.254.13/255.255.255.252 on interface {xxxxxxxxxxx} [DHCP-serv: 10.0.254.14, lease-time: 31536000]
La operación solicitada requiere elevación.
Mon Jan 22 12:46:37 2011 ERROR: Windows route add command failed: returned error code 1
The requested operation requires elevation.
Mon Jan 22 12:46:37 2011 ERROR: Windows route add command failed: returned error code 1
Mon Jan 22 12:46:37 2011 Initialization Sequence Completed

Non comprendía porque xa non funcionaba o grupo de operadores de configuración de red. En realidade funciona, mais UAC encargase de que non sexa efectivo. Parece que hai algunha polémica con este comportamento que evita o normal funcionamento dun grupo creado para dar a posibilidade de que os usuarios (en especial os que teñen mobilidade) poidan configurar a conexión de rede en función das súas necesidades, pero non hai outra solución que desactivar o UAC cousa que non sempre é posible ou desexable.

Despois de moito buscar e probar configuracións, estas foron algunhas das respostas boas.

Cliente OpenVPN como usuario sen privilexios en Windows 7

pode funcionar en Vista tamén)
O comezo é igual que para Windows XP pero repitoo para ter un artigo único de referencia.

  1. [Win XP - 7 ]Engadimos o(s) usuario(s) que poida(n) conectarse dende esa máquina, ao grupo Operadores de configuración de red (Network Configuration Operators).
  2. [Win XP - 7] Como mínimo damos permisos modificar e escribir (se non queremos complicarnos a vida control total) aos seguintes cartafoles:
    • %programfiles%\OpenVPN\log – Neste camiño gardase o log de conexión.
    • %programfiles%\OpenVPN\config – Nesta pasta gardanse os certificados. É recomendable que o usuario aprenda a sustituilos, cando caduquen ou sexan revogados.
  3. [Win 7] Editar a configuración e engadir ao final da mesma estas dúas liñas:
    route-method exe
    route-delay 2
  4. [Win 7] Aquí temos dúas opcións para resolver o problema da elevación (escollede unha):
    1. Desactivar UAC (non é unha opción para min pero si o pode ser para outros).
    2. Menú contextual (Botón dereito) de OpenVPN GUI -> Pestana Compatibilidad -> Marcar Ejecutar este programa en modo de compatibilidad para: -> Seleccionar dos despregable Windows XP (Service Pack 3) -> Aceptar

E así obteremos un fermoso log sen erros, coma este:

Mon Jan 23 12:25:49 2011 [vpncer11] Peer Connection Initiated with xx.xx.xx.xx:1194
Mon Jan 23 12:25:51 2011 TAP-WIN32 device [Conexión de área local 2] opened: \\.\Global\{xxxxxxx}.tap
Mon Jan 23 12:25:51 2011 TAP-Win32 MTU=1500
Mon Jan 23 12:25:51 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.254.13/255.255.255.252 on interface {xxxxxxxxx} [DHCP-serv: 10.0.254.14, lease-time: 31536000]
Mon Jan 23 12:25:51 2011 Successful ARP Flush on interface [16] {xxxxxxxx}
Correcto
Correcto
Mon Jan 23 12:25:53 2011 Initialization Sequence Completed

Chuzame! A Facebook A Twitter
Publicado en Cómo amañei...?,Windows 7 | 2 Comentarios

OpenVPN como usuario non administrador

O título é suficientemente descriptivo, penso, pero para os despistados deixo un avisiño. Está completamente fora desta entrada a configuración dun servidor por dous motivos:

  1. Xa o teño configurado na IPBrick.
  2. Non sabería nin como empezar ;-).

Antecedentes

Cando me presentaron a posibilidade de que a IPBrick utilizara OpenVPN como sustituto da antiga PPTP, pareceume unha fantástica idea, e en canto tiven algún tempo púxenme a fedellar con ela. Pronto petei co primeiro problema, a versión oficial do cliente OpenVPN v.2.0.9 obrigaba a que o usuario que o executara pertencera ao grupo Administradores, ou seguir estes consellos que non facían moi práctica a implantación, cousa que me obrigou a buscar solucións parciais, coma o uso de sudowin, para executar o cliente, que afortunadamente non foron necesarias, porque a fináis de xaneiro saiu a beta 2.1 rc7, e doume por probala. Usar en producción unha beta non é un bo costume, pero a necesidade obrigou e a deusa fortuna estivo do meu lado.

Entre as súas melloras da versión 2.1 están:

  • Soporte de Windows Vista (que pode ser interesante para alguén)
  • Integrado OpenVPN GUI co que cunha soa instalación queda listo o equipo para o cliente
  • O máis importante para min, que xa o podían usar usuarios básicos.

A cousa é bastante bonita de entrada, mais hai que ter en conta uns pasiños para que funcione correctamente, sendo este o fin desta entrada.

Instalación cliente OpenVPN

  1. Baixamos o executable da versión 2.1.
  2. Instalamos o cliente na máquina desexada (cun usuario con privilexios).
  3. Engadimos o(s) usuario(s) que poida(n) conectarse dende esa máquina, ao grupo Operadores de configuración de red (Network Configuration Operators).
  4. Como mínimo damos permisos modificar e escribir (se non queremos complicarnos a vida control total) aos seguintes cartafoles:
    • %programfiles%\OpenVPN\log – Neste camiño gardase o log de conexión.
    • %programfiles%\OpenVPN\config – Nesta pasta gardanse os certificados. É recomendable que o usuario aprenda a sustituilos, cando caduquen ou sexan revogados.
  5. Para facilitar a xestión, pasar os atallos creados no perfil do administrador, ao Menú de inicio de All Users ou ben ao dos usuarios que o van utilizar.

Como de costume, agardo que alguén lle saque proveito.

Atopei algunhas curiosas solucions ao problema por ai, ainda que sigo a preferir a miña:

Chuzame! A Facebook A Twitter
Publicado en Cómo amañei...?,IPBrick,Windows XP | 1 Comentario