Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2040 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN on a Limited User Account

Blueeyed.1978
Okay, I am still trying to get OpenVPN to run on my limited user account.

I have followed this help guide:
[URL="http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin-Rev1.1.html"]
openvpn.se/.../URL]

I have also installed the OpenVPN 2.1_rc7 -- released on 2008.01.29 from:

http://openvpn.net/index.php/downloads.html  

then I replaced the Config folder in this install with the one from my Astaro SSL VPN package config folder files.  I was able to connect with my Admin login just fine (actually it connected faster with this OpenVPN version than the Astaro version)


I used the subinacl.exe utility included in the Windows Resource Kit method.  I was able to get the Service to run on my Limited user account, but now how do I get the VPN to prompt me for my username and password as if I was running it under my admin account?  Any ideas anyone??  I am lost on this.  
     I rather NOT have to use the "RunAs" function on my limited user account, because giving the program that controls my MAIN connection to internet Admin rights on a Limited User account makes me weary.  Hence someone compromises the VPN application and they now have possibly escalated their rights on my limited user account via the OpenVPN application.... kind of defeats the purpose of a limited user account imo.

Any help would be appreciated.  Thanks for the great product.  [:)]


This thread was automatically locked due to age.
  • 0
    Well, I was able to get my limited user account to run OpenVPN as a service successfully now and prompt me for a username and password, however, unless I am using FULL admin rights (by running OpenVPN with the "RunAs" function) I can not connect successfully to my ASG.  I even tried giving my limited user account FULL CONTROL over just the OpenVPN folder via NTFS permissions, but this is still not the same as using Admin I guess.

    One thing I must admit though, if you use the:

    OpenVPN 2.1_rc7 -- released on 2008.01.29 from:  http://openvpn.net/index.php/downloads.html  and then you add your Astaro VPN configuration into it it seems to connect faster to the ASG and your surfing speeds are a bit smoother.  I am guessing though, if I do not use Astaro's VPN package to install it, then I am not gaining the ability to configure my VPN tunnel anymore from the choices I made (i.e. SSL with AES 256, etc).  I will be forced to use whatever they have chosen in their setup instead. This may not be wise then to use.

    Can anyone else confirm this too?


         Darn, I hope Astaro or the creators of OpenVPN can someday make this work on a limited user account. [:(]
  • 0 in reply to Blueeyed.1978
    Any news on this?

    Thanks,
    Barry
  • 0 in reply to BarryG
    Any news on this?

    Thanks,
    Barry


         Nope, I have not heard anything back on it.  I think it is better to use Astaro's VPN package though, not the real OpenVPN package.  With Astaro's you can obviously pick UDP or TCP and configure the encryption used to your likings.  
         My main concern is the limited user account option though.  To me running your "main" VPN connection that tunnels all your traffic, but with Admin level rights, seems like it could be the "AchillesTendon" in the overall equation to me.  If your attacker finds a way to compromise the VPN, they may end up with its system level privilages.  Just does not sound good to me.
  • 0 in reply to Blueeyed.1978
    My understanding is that Astaro takes the OpenVPN package and modifies it to work seamlessly with the ASG UTM... You can be sure that when the OpenVPN group figures out how to get their client to run on a limited user account without any "trickery" that Astaro will be updating their build so it can do it.

    As an aside, if you have any clients that are needing to use the SSL VPN with their 64-bit Windows version, try the latest OpenVPN beta client, and copy over the Astaro config directory as the OP said... I had a customer recently get a laptop with Vista 64 on it, and this worked great.  Since it's still RC software, I don't expect that Astaro will be updating their build to work on 64-bit until the OpenVPN version is in final / stable release.
  • 0 in reply to BrucekConvergent
    You could add the user to the network operator group, which allows the VPN rerouting to take place.  User stays as a normal user (except with network operator permissions).
  • 0 in reply to BangkokBob
    Hallo zusammen,

    ich verteile das openssl vpn paket bei uns in der Domäne. Ein Normaluser kann mittels dem Freewaretool sudowin dazu berechtigt werden nur die openvpn executable mit höheren Userrechten zu starten. 
    Vorraussetzung sind natürlich Kenntnisse der Windows Rechte Struktur und genaues konfigurieren des sudowin damit keine Lücken entstehen.
  • 0 in reply to Monstahund
    It looks like one can download sudowin from SourceForge.  Does anyone here use it to fashion a work-around for the non-administrators who need to install the SSL VPN?  If it really does let you configure it to limit its application to just the SSL installation, then that seems to be worth looking into.

    Thanks - Bob
  • 0 in reply to BAlfson
    Hello balfson,

    with sudowin it is possible to limit the administrative execution to the openvpn exe. It works similary as the sudo subshell process in unix systems.
    Just download it and try it on a windows installation for me it worked without problems.

    greets 

    Monstahund