openVPN vs. Windows 7 vs. admin jogok

 ( pelibali | 2011. július 8., péntek - 8:15 )

Sziasztok,
van par Windows 7-es kliens szgep, amelyek openVPN-nel szivnak. Adminkent futtatnak mindent, vagyis openVPN is alapbol jol mukodik, adminkent tudjak is modositani a route-ot, stb. Eddig viszont manualisan hivtak meg "net use" tipusu ket .bat file-t a file-server beizzitasara, egyiket a kapcsolat felepitese utan, masikat a bontas elott, de most szeretnek a ket szkript futasat automatizalni.
Addig eljutottak, hogy az openVPN konfig konyvtarba betettek a ket .bat file-t mint xxx_up.bat es xxx_down.bat, azok gond nelkul le is futnak (i.e. a file-szerver szepen kerdez usr/psw combo-t), de a meghajtok megsem csatolodnak be. Vicces modon, ugyanezek a programok az asztalrol futtatva abszolut mukodokepesek, tehat gyanitjuk, hogy admin jogokkal futva nem erik el a kivant hatast.
Probaltam raGoogle-zni, de a problema megoldasa nem tunik magatol ertetodonek.
Barmilyen tampontot elore is koszonok,
Pelibali

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szerintem a probléma ott lehet, hogy a hálózati meghajtót egyből a kapcsolat felépülése után akarod :) Sajnos tapasztaltam, hogy win7 alatt ha samba megosztást szeretnél használni, akkor csak késleltetve hajlandó a hálózati meghajtókat felcsatlakoztatni.
Sajnos batch fileban nem vagyok otthon de javaslok egy 30 másodperces késleltetést a hálózati meghajtók csatlakoztatása előtt.

Google-zas alapjan probalkoztam hasonloval, viszont openVPN futtatja ugye a szkriptet, ami eloszor var egy darabig, mire openVPN kozli (asszem) 15mp mulva, hogy tullepte a biztonsagi korlatot es lezarja a szkriptet. 5mp varakozas valami ping-es trukkel bejonni latszott, kerdezte a file-server a usr/psw parost, de a drive-okat az sem huzta be. Ugyanakkor pont mint korabban, szkripteket manualisan inditva semmi problema, kapcsolat letrejotte utan virtualisan barmikor behuzodnak a megfelelo drive-ok.
Probaltam kulonben az openVPN altal futtatott szkriptek futasakor a usr/psw megadasanal szimplan varni, az sem jott be a fenti okbol kifolyolag.

Sziasztok,

hasonló problémám van.
Windows 7, tartomány, nincs local user és a felhasználóknak nincs admin joguk.
OpenVPN-t felhasználóként futtatva létrejön ugyan a kapcsolat, de a route add már nem fut le jogosultság hiányában.

Wed Jul 17 14:15:32 2013 ROUTE: route addition failed using CreateIpForwardEntry: A hozzáférés megtagadva. [status=5 if_index=36]
Wed Jul 17 14:15:32 2013 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Jul 17 14:15:32 2013 ERROR: Windows route add command failed [adaptive]: returned error code 1
Wed Jul 17 14:15:32 2013 ROUTE: route addition failed using CreateIpForwardEntry: A hozzáférés megtagadva. [status=5 if_index=36]
Wed Jul 17 14:15:32 2013 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Jul 17 14:15:32 2013 ERROR: Windows route add command failed [adaptive]: returned error code 1
Wed Jul 17 14:15:32 2013 Initialization Sequence Completed

Van valaki köztetek aki ezt a problémát meg tudta oldani?

A felhasználóknak nem csak hogy nincs admin joguk, de az admin jelszót sem tudják, tehát a run as admin megoldás nem jöhet szóba, mivel jelszót fog kérni.

Bármilyen ötletet szívesen fogadok.
Köszi

Márpedig a routolás admin jog nélkül nem fog összejönni.

A subinacl-es megoldás jó, én is így csináltam.

http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.html

Próbáltam az 1. variációt, de nekem nem működik.
subinacl-es módosítás sikerült, de ugyanúgy elakad a route add-nál.

A registry módosítást is megcsináltad?

Igen meg.

Nekem így néz ki a kliens beállítása, ha neked valami más, akkor lehet hogy ott van a kutya elásva. A routeokat dhcp-n kapja meg a kliens.

client
dev tap
proto udp
remote 1.2.3.4
resolv-retry infinite
nobind
persist-key
persist-tun
ca xxx.pem
auth-user-pass
comp-lzo

Nálam pedig ilyet adott a pfSense kliens konfignak:

dev tun
persist-tun
persist-key
cipher AES-128-CBC
tls-client
client
resolv-retry infinite
remote 1.2.2.1 1194 udp
tls-remote vpnserverCERT
auth-user-pass
ca pfsense-udp-1194-ca.crt
tls-auth pfsense-udp-1194-tls.key 1

A route rendben is van ha adminként indítom a klienst. Ebben az esetben minden jól működik. A probléma akkor jelentkezik, mikor user indítja mert akkor a route add nem tud lefutni.

Google találatokon már túl vagyok. Nem kérdeztem volna itt, ha találtam volna megoldást illetve valamelyik működött volna.
Mindenesetre köszönöm.

A legelső találat a linkemben ?

A run as admin azért nem jó mert rendszergazdaként csak akkor engedni majd futtatni az alkalmazást, ha megadod az admin felhasználónév / jelszó párost. Win 7 alatt egyszerűbben: jobb klikk, futtatás rendszergazdaként.
A végfelhasználó nem tudja az admin jelszót.

Elolvastad egyáltalán?

Mire szeretnél rámutatni? Mit nem állíthattam be?

Nekem a cikk elolvasása után az a véleményem, hogy amiről te beszélsz, az olyan, mint a su -c "parancs", amiről a cikk, az meg olyan, mint a SUID-bit root user-rel. De lehet nagyon benézek valamit.

Már korábban kipróbáltam, feldobja az UAC ablakot.

Tuti UAC volt? Nem az az üzi, hogy figyu, ez a cucc most majd jól módosítja a géped beállításait?

Helló!

Nekem OpenVPN-et csak külső program segítségével sikerült beállítani.
Én a következőket használtam hozzá:
surun: http://kay-bruns.de/wp/software/surun/
runasspc: http://www.robotronic.de/runasspcEn.html
Lényegében mindkettő azt csinálja, hogy valamilyen módon meghívja a runas parancsot és átadja neki a megadott jelszót. Így a felhasználónak ezt nem kell tudnia.

Üdv,
Imi

Szia. Ezt a megoldást korábban megtaláltam én is, még nem próbáltam ki, de jó tudni, hogy ez egy járható út.
Köszi

megnézem, köszi

TRükknek nem rossz, de ha jól gondolom ez azért nem jó, mert - szerintem - akkor kéne a route-ot állítani, amikor felépül az OpenVPN-féle kapcsolat, nem pedig mindig (ráadásul a DHCP-n keresztüli küldéshez a DHCP szerverbe kell felvenni dolgokat, amik egyébként - az esetleg attól teljesen független OpenVPN szolgáltatáshoz tartoznak).

Csinálsz egy DHCP szervert/class-t, stb. ami csak az openvpn-es interfacen van, openvpn-el meg nem állítasz semmit. Kapcsolat felépül, windows elkezd kérni ip-t az openvpn interfacen, másik felén meg tolják le a cuccot.

Az OpenVPN-nek van service wrapperje, azzal el lehet indítani a megfelelő jogokkal. Ha usernek kell elindítania vgy megállítania akkor az egyes service-ekhez lehet per user adni jogokat.

En ezt vbs-t szoktam haszalni titkositva persze:

Option explicit
dim oShell
set oShell= Wscript.CreateObject("WScript.Shell")
oShell.Run "runas /user:DOMAIN\FELHASZNALONEV "" PRGOGRAM"""
WScript.Sleep 10
oShell.Sendkeys "JELSZO"
Wscript.Quit

Bar ez is torheto

Köszönöm mindenkinek a segítséget, ötleteket.
Borbelyimi hozzászólása alapján sikerült megoldanom ahogy szerettem volna. A runasspc-t választottam.