Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 5328 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN non admin VISTA/WIN7

mgolisch
Hi people,
Today i found i way to run the SSL-VPN client as non admin on Vista/win7 using the builtin NetworkConfigurationOperators Group.
The only drawback is that the user has to enter its own password once in a UAC Popup when starting the VPN-GUI but thats still much better than giving them full admin access.
After some searching i turned up this news-list post : Gmane -- Mail To News And Back Again which describes how one can use the networkconfigurationsoperators group with vista and openvpn.exe.
This worked quite well but the modified executable no longer works with the vpn gui and all my users are used to it allready.
So i took it one step further and applied the relevant changes to the openvpn-gui.exe.manifest that is installed with the ssl vpn installation package.
Then i used mt.exe to embed this new modified manifest into the openvpn-gui.exe file.
Now a user of the Networkconfigurationoperators Group can use the openvpn-gui.exe to successfully initiate and stop vpn sessions with a astaro appliance or other openvpnserver.
It will display a UAC popup on start in which the user can authenticate using its own password and username, the openvpngui starts afterwards and is fully functional as non admin user.
I tested this procedure on Vista and Windows 7.
Feel free to contact me if you need more details on howto do that.

Hope this i usefull to someone.

kind regards 

Michael Golisch


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the update.
     
    Update: OK, I finally got around to testing this out myself. This was with the Astaro VPN from V8 (1.7) on a Win7 x86 machine. I only added a manifest to openvpn-gui.exe. User added to Network Config Operators group.
     
    The first thing that I noticed is that the VPN client log directory permissions need to be modified to allow a log file to be written and to avoid a notification message about not being able to access the log file.
     
    The user can start the application fine just by clicking on it. For me, no automatic elevation prompt was given. A connection can be made like this, but no route is written, so it's fairly useless in this state.
     
    To run properly, the user must right click and choose Run As Administrator, which will trigger the UAC elevation prompt and allows the user to enter his/her own credentials to set the correct rights.
     
    Going into the properties of the program (or shortcut), Compatibility Tab, and checking Run this program as an administrator to force automatic UAC prompt should not be done. Doing so will only allow full administrator credentials to be entered and not the users.
     
    I'd be interested in finding out why your getting the elevation prompt when a user starts the program and in my test, this didn't happen, requiring right-clicking and choosing Run As Administrator. It may be that your using a different version of the VPN client (I think Astaro 7.5x comes with v1.5 of the client). From your first post, depending on how it's read, it almost sounds like you applied a manifest to both openvpn.exe and openvpn-gui.exe which could be another differentiator.
     
    Further edit:  It's differences in the client versions.  V1.5 will automatically prompt when run, while v1.7 will not, so requires using run as admin.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Here's the explanation from Microsoft why this is happening:


    The CreateIpForwardEntry function can also fail because of user account control (UAC) on Windows Vista and later. If an application that contains this function is executed by a user logged on as a member of the Administrators group other than the built-in Administrator, this call will fail unless the application has been marked in the manifest file with a requestedExecutionLevel  set to requireAdministrator. If the application lacks this manifest file, a user logged on as a member of the Administrators group other than the built-in Administrator must then be executing the application in an enhanced shell as the built-in Administrator (RunAs administrator) for this function to succeed. 

    Source: MSDN CreateIpForwardEntry Function (Windows)


    I'll check if adding the "requestedExecutionLevel" to the GUIs manifest is an option up until the full blown fix to the general issue of regular users no being able to run openvpn. Any experience you made so far is very welcome.
Reply
  • 0 in reply to Scott_Klassen
    Here's the explanation from Microsoft why this is happening:


    The CreateIpForwardEntry function can also fail because of user account control (UAC) on Windows Vista and later. If an application that contains this function is executed by a user logged on as a member of the Administrators group other than the built-in Administrator, this call will fail unless the application has been marked in the manifest file with a requestedExecutionLevel  set to requireAdministrator. If the application lacks this manifest file, a user logged on as a member of the Administrators group other than the built-in Administrator must then be executing the application in an enhanced shell as the built-in Administrator (RunAs administrator) for this function to succeed. 

    Source: MSDN CreateIpForwardEntry Function (Windows)


    I'll check if adding the "requestedExecutionLevel" to the GUIs manifest is an option up until the full blown fix to the general issue of regular users no being able to run openvpn. Any experience you made so far is very welcome.
Children
  • 0 in reply to d12fk
    I believe the OpenVPN folks are working on a fully compatible Vista / Win7 client (one that uses a service to get around all the UAC nonsense) ... has anyone had a look at that yet?

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Yes, it's me driving this initiative, but it will be some time until something in releasable state will be available. I aim to fill the gap with this "fix" to at least have something that comes close to the situation with XP.
Cookie Information Banner