Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 5302 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN non admin VISTA/WIN7

mgolisch
Hi people,
Today i found i way to run the SSL-VPN client as non admin on Vista/win7 using the builtin NetworkConfigurationOperators Group.
The only drawback is that the user has to enter its own password once in a UAC Popup when starting the VPN-GUI but thats still much better than giving them full admin access.
After some searching i turned up this news-list post : Gmane -- Mail To News And Back Again which describes how one can use the networkconfigurationsoperators group with vista and openvpn.exe.
This worked quite well but the modified executable no longer works with the vpn gui and all my users are used to it allready.
So i took it one step further and applied the relevant changes to the openvpn-gui.exe.manifest that is installed with the ssl vpn installation package.
Then i used mt.exe to embed this new modified manifest into the openvpn-gui.exe file.
Now a user of the Networkconfigurationoperators Group can use the openvpn-gui.exe to successfully initiate and stop vpn sessions with a astaro appliance or other openvpnserver.
It will display a UAC popup on start in which the user can authenticate using its own password and username, the openvpngui starts afterwards and is fully functional as non admin user.
I tested this procedure on Vista and Windows 7.
Feel free to contact me if you need more details on howto do that.

Hope this i usefull to someone.

kind regards 

Michael Golisch


This thread was automatically locked due to age.
Parents
  • 0
    Hi, 
    I don't know if my issue is related to the described one. I have laptop with Windows 7 PRO and I installed SSL VPN Client 1.7. When I run the opengui, a popup appears with an error message that says (translating from italian): 

    "Error while opening log file in write mode: C:\program file\astaro\astaro ssl vpn client\log\username@firewall.log. Perhaps you don't have admin rights required by OpenVPN."

    The stangeness is that the tunnel seems to be built successfully (green led icon), but I cannot ping internal addresses nor surf in shared folders. If I "Run as administrator", I don't see the error message and I can ping everything and surf in shared folders. I tried a lot of times and the behavior is alwasy the same: if I don't run as administrator the tunnel seems to be built successfully but... you cannot use it.

    Reading your posts I noticed also that .manifest file is absent in bin directory (wihle in all other XP installation I see it). 

    Any idea?

    PS: I tried also to assign full control to the user in Astaro directory, the error does not appears but the VPN does not work
  • 0 in reply to eclipse79oldacct

    The stangeness is that the tunnel seems to be built successfully (green led icon), but I cannot ping internal addresses nor surf in shared folders. If I "Run as administrator", I don't see the error message and I can ping everything and surf in shared folders. I tried a lot of times and the behavior is alwasy the same: if I don't run as administrator the tunnel seems to be built successfully but... you cannot use it.


    Yes, that's it. The routes can not be set when you are not the Administrator himself. Sadly OpenVPN does not report the failure of setting the routes as failure, but reports success. That's why the light is green.


    Reading your posts I noticed also that .manifest file is absent in bin directory (wihle in all other XP installation I see it). 


    The manifest is compiled into the openvpn-gui.exe binary in newer versions.
  • 0 in reply to d12fk

    The manifest is compiled into the openvpn-gui.exe binary in newer versions.


    Newer than 1.7? It is the newest version I think... or not? And anyway is the same I use in a XP system that has .manifest file... I am a little confused...
  • 0 in reply to eclipse79oldacct
    Newer than 1.7? It is the newest version I think... or not? And anyway is the same I use in a XP system that has .manifest file... I am a little confused...


    1.7 is the "newer" version I meant. =)

    The .manifest shouldn't be part of the 1.7 installer, so maybe it's just the 1.6 uninstaller not cleaning up properly...
  • 0 in reply to d12fk
    1.7 is the "newer" version I meant. =)

    The .manifest shouldn't be part of the 1.7 installer, so maybe it's just the 1.6 uninstaller not cleaning up properly...



    Sorry for my misunderstanding, now re-reading your post is all clear [:)] it has been included in bin file. So... the solution cannot be used anymore!! [:(] This mean that Astaro shuold enhance the compatibility with Windows 7, I don't want to disable UAC
  • 0 in reply to eclipse79oldacct
    I had no Problem getting SSL VPN to work for my non admin vista/win7 user with the method outlined in my post so far.
    It apears that only on some machines there comes a uac popup which asks the users for their passwords.Did not find out whats different there yet.
    One thing i forgot to mention is that you have to give either the user or everyone write access to the log directory otherwise the vpn client fails to establish a connection.
    But iam not on the latest Astaro/VPNClient version yet so no idea if this manifest thing still works there.
    Guess ill try updating my Astaro and VPNClient and try it over the weekend.
    Still lame that theres no out of the box solution for that problem.

    Cheers Michael
    [:D]
Reply
  • 0 in reply to eclipse79oldacct
    I had no Problem getting SSL VPN to work for my non admin vista/win7 user with the method outlined in my post so far.
    It apears that only on some machines there comes a uac popup which asks the users for their passwords.Did not find out whats different there yet.
    One thing i forgot to mention is that you have to give either the user or everyone write access to the log directory otherwise the vpn client fails to establish a connection.
    But iam not on the latest Astaro/VPNClient version yet so no idea if this manifest thing still works there.
    Guess ill try updating my Astaro and VPNClient and try it over the weekend.
    Still lame that theres no out of the box solution for that problem.

    Cheers Michael
    [:D]
Children
No Data