SSL VPN Only Works One Time, then needs a reinstall

Hi All,

Quick update! As soon as I posted, Astaro QA contacted me to state we are not the only clients with this problem and are working on a fix. If anyone has any info, please post it here.

Thanks,

Ken

Now this is just an educated guess, not a definitive answer, so please take it as such.
 
One possible cause could be UAC.  With Vista, an administrative user gets two security tokens, one with full admin rights and the other with standard (locked down) user rights.  The admin user only has the standard token loaded by default.  Only when UAC detects that the user is trying to start a program that requires elevated rights will it prompt the user to do the task or cancel.  If the user chooses to perform the task, then the admin token is loaded and used.
 
What I think you may be experiencing is that an install requires the admin token, so immediately after the VPN client software is running with that level of rights.  If the software is exited, then re-started, it is only running with a standard level of rights, which cannot adjust the local routing table.
 
This isn't just an Astaro problem, but is an issue with the open source product that Astaro uses as the base of its' SSL VPN, OpenVPN.  Even on WinXP or older, it won't work properly with out true full admin rights.
 
The only workaround that I've heard of, is basically to use RunAs to start the program with full admin rights.  Assuming that your user fires up the VPN client software from the start menu. with Vista what you can try is go to start menu>all programs>Astaro SSL VPN,  right click on the program shortcut, then go to the compatibility tab.  At the bottom you'll see a section called Privilege Level.  Check the box "Run this program as an administrator", click apply, click ok.  Now when the software is fired up, the user will be hit with a UAC prompt and when the user agrees, the software will run with true full admin rights.
 
If you decide to try this, please post back and let us know if it works.

Hi Scott,

I suspected UAC to be the culprit. So when we uninstalled and reinstalled we did it with a right-click and RUN AS ADMINISTRATOR. We also ran the client the same way. This didn't work either.

I am going to have the user try the checkbox method you mentioned as well and will let you know the results.

- Ken

Fingers crossed for you. Another thing to try would be credentials for the Service that gets installed by Astaro SSL. By default it runs under the Local System account. You can try starting it as Local Service or Network Service under Vista as they have different rights.
 
Try doing a google search for "openvpn vista" (without quotes). Quite a few different workarounds out there for various issues. The second link I got discusses a problem with the tap801 driver (which Astaro SSL uses) and how to manually replace it with the newer tap802 driver.
 
A link a little bit further down the 1st search page has some info that sounds similar to what your experiencing. http://konstantin.vassilev.name/using-openvpn-on-windows-vista .  I'd say give this one a try first.  Seems simple enough to implement.  If it works, definately reply to Astaro with your trouble ticket number and the link so they can implement a fix for everyone.  [:)]

Thanks for the info on this. I will probably give it a try tomorrow morning after I have read through all of the materials. I will keep everyone updated.

Before I go through the edits of files, has anyone tried to use the OpenVPN GUI at http://openvpn.se. Supposedly, according to this link http://skriptd.wordpress.com/2007/07/12/openvpn-gui-on-windows-vista/ the GUI beta client already has the fixes in place. I have successfully installed this on a XP machine and used the config files from the ASG220 User Portal to make a connection. I am about to test on Vista and will report back. If you have done this, please post here.

Hi All,

The OpenVPN-Gui beta does not work as the TAP driver is blocked as a security risk. I was able to get the machine running the Astaro VPN Client. Here is how it works. The user must have administrative privileges.

STEP ONE
=======================
In Wordpad, open the following file: c:\Program Files\Astaro\Astaro SSL VPN Client\config\asg.username.opvn (this may show as asg.username)

Then, go to the bottom of the file and add the following three lines exactly as they are below (the first comment line isn't needed, but it is a reference to where I received the help):

#add as per link at http://konstantin.vassilev.name/using-openvpn-on-windows-vista

route-method exe
route-delay 2

STEP TWO
=======================
Next up is to change the Astaro VPN client to always run as an administrator. Go to this location with Windows Explorer:

c:\Program Files\Astaro\Astaro SSL VPN Client\bin\

Highlight the file openvpn-gui.exe and then right-click. Choose properties. Click the "Compatibility" tab and check the checkbox "Run this program as an administrator" and click ok.

STEP THREE
======================
We now need to remove the Astaro VPN Client from startup, otherwise it will be blocked by Windows Vista because of "Administrative Behavior".

- Click START ---> RUN and type msconfig and then click OPEN
- Click the STARTUP Tab and uncheck openvpn-gui
- When you restart your PC again, it will ask if you want to run msconfig again, just check the appropriate checkboxes so it will not do that in the future.

STEP FOUR
=======================
Click START ---> ALL PROGRAMS ---> ASTARO SSL VPN ---> ASTARO VPN Client
Right click the traffic light and choose connect.
After authenticating, you should be able to access network resources

I will add this to the main forum so an admin can sticky it. I have also asked Astaro to enter it into the v7/SSL KB.

Very cool.  Glad you got it.  Great of you to post the detailed how-to for others as well.