Vista: openvpn wird geblockt

Hallo,
hier ist auf einem Laptop unter Windows Vista Business OpenVPN
installiert, um wie bei all den anderen XP-Maschinen auch
OpenVPN setzt seine Routen nur dann, wenn es mit
Administratorprivilegien gestartet wird. Ich habe mir auch schon das
"böse" Programm ROUTE.EXE angeschaut; da steht im Reiter Sicherheit,
dass u.a. die Gruppe "Benutzer" Lese- und Ausführungsrechte hat.
Lustigerweise kann ich aber die Berechtigungen nur ansehen, nicht
ändern, auch wenn ich zuvor den Explorer als Administrator gestartet
habe. Setze ich es in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run, um es
automatisch starten zu lassen, funktioniert es erstmal nicht.

Fehlermeldung von OpenVPN:
route ADD 192.168.7.0 MASK 255.255.255.0 192.168.7.33
Der angeforderte Vorgang erfordert erhöhte Rechte.
ERROR: Windows route add command failed: system() returned error code 1

Wenn ich auf der Kompatibilitätsseite der openvpn-gui.exe einstelle,
dass es vom Administrator gestartet werden soll, wird es vom Defender
geblockt. Gleiches passiert, wenn ich einen Link in einen
Autostart-Ordner ablege, dem ich bei den Einstellungen unter Erweitert
mitgebe, dass er vom Administrator gestartet werden soll. Jetzt kann ich
natürlich hingehen und mit der rechten Maustaste zirkeln und das
Programm starten lassen, aber das muss ich jedesmal tun, wenn der
Rechner startet -sehr fummelig, sehr nervig.

Kann ich Windows Vista Business oder dem Defender irgendwie beibiegen,
dass es das Ding jedesmal ohne Nachfrage mit Administratorrechten
starten soll? Ziel soll sein, dass das Icon im Tray erscheint, das ich
zum Verbindungsaufbau nur noch doppelklicken muss.


Ach ja: die Benutzerkontensteuerung auszuschalten wird hier nicht als
Lösung akzeptiert.


--
Gruss
Alex

Hallo Alexander Goetzenstein,

"Alexander Goetzenstein" alexander_goetzenstein@web.de schrieb:
> Kann ich Windows Vista Business oder dem Defender irgendwie beibiegen,
> dass es das Ding jedesmal ohne Nachfrage mit Administratorrechten
> starten soll? Ziel soll sein, dass das Icon im Tray erscheint, das ich
> zum Verbindungsaufbau nur noch doppelklicken muss.

nein. Das geht per Design nicht. Etwas, was im Autostart-Bereich
administrative Rechte benötigt, muss unter Vista anders arbeiten.
Beispielsweise als Dienst.

> Ach ja: die Benutzerkontensteuerung auszuschalten wird hier nicht als
> Lösung akzeptiert.

Richtig. Mit Deinem Wunsch würdest Du auch den Anwender darauf trainieren,
dass er bei jedem Neustart und jeder Anmeldung immer einen UAC-Dialog
bekommen würde.

BTW: Die eingebaute VPN-Lösung funktioniert auch mit Benutzerrechten
einwandfrei.

Viele Grüße!
--
..aniel Melanchthon:.
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!

Hallo,
ich hoffe, niemanden abzuschrecken, wenn ich jetzt mal die Ingrid mache:

Am 05.07.2007 01:21 schrieb Alexander Goetzenstein:
> Fehlermeldung von OpenVPN:
> route ADD 192.168.7.0 MASK 255.255.255.0 192.168.7.33
> Der angeforderte Vorgang erfordert erhöhte Rechte.
> ERROR: Windows route add command failed: system() returned error code 1

in früheren Windows-Versionen hatte IIRC ein Mitglied der Gruppe
Netzwerkkonfigurations-Operatoren u.a. auch das Recht, Routen zu setzen.
Leider scheint das unter Vista nicht zu funktionieren, weshalb ich mir
die icacls von ROUTE.EXE einmal angeschaut habe. Da haben zwar
Administratoren und Benutzer die Rechte RX, doch die Route wird nicht
gesetzt:

route add 192.168.7.0 mask 255.255.255.0 192.168.7.33
Der Angeforderte Vorgang erfordert erhöhte Rechte.

Wenn es nicht an den Ausführungsrechten der Datei route.exe liegt, wo
hakt es dann, und wie kann man das überwinden?


--
Gruss
Alex

Am 05.07.2007 09:46 schrieb Daniel Melanchthon [MS]:
> nein. Das geht per Design nicht. Etwas, was im Autostart-Bereich
> administrative Rechte benötigt, muss unter Vista anders arbeiten.

Schade. Ich hatte schon gehofft, man könnte Ausnahmen definieren oder so.

> Beispielsweise als Dienst.

Kann ich denn die openvpn-gui.exe als Dienst starten?


> BTW: Die eingebaute VPN-Lösung funktioniert auch mit Benutzerrechten
> einwandfrei.

Das wird derzeit organisatorisch verweigert. Läuft das denn technisch
mit OpenVPN-Server zusammen?


--
Gruss
Alex

Hallo Alexander Goetzenstein,

"Alexander Goetzenstein" alexander_goetzenstein@web.de schrieb:
>> Beispielsweise als Dienst.
>
> Kann ich denn die openvpn-gui.exe als Dienst starten?

sehr wahrscheinlich nicht. Dazu müssten die OpenVPN-Entwickler die
Software als Dienst implementieren.

>> BTW: Die eingebaute VPN-Lösung funktioniert auch mit Benutzerrechten
>> einwandfrei.
>
> Das wird derzeit organisatorisch verweigert. Läuft das denn technisch
> mit OpenVPN-Server zusammen?

OpenVPN benutzt eine propriätere Technik für seine VPN-Funktion. Es kann
meines Wissens nach nicht mit PPTP- oder IPSec-Gegenstellen umgehen. Du
wirst auf die Entwicklung von OpenVPN angewiesen sein. Die müssen ihr
Programm fit für Vista machen - insbesondere, damit es ohne administrative
Rechte funktioniert.

Viele Grüße!
--
..aniel Melanchthon:.
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!

Am 05.07.2007 10:19 schrieb Daniel Melanchthon [MS]:
> Die müssen ihr
> Programm fit für Vista machen - insbesondere, damit es ohne administrative
> Rechte funktioniert.

Warum funktioniert das Routen-Setzen nicht, wenn der User Mitglied in
Netzwerkkonfigurations-Operatoren ist?


--
Gruss
Alex

Alexander Goetzenstein schrieb:
> Hallo,
> hier ist auf einem Laptop unter Windows Vista Business OpenVPN
> installiert, um wie bei all den anderen XP-Maschinen auch
> OpenVPN setzt seine Routen nur dann, wenn es mit
> Administratorprivilegien gestartet wird.

Kannst Du OpenVPN nicht als Dienst laufen und automatisch starten
lassen? Wenn immer die gleiche Verbindung aufgebaut werden soll, ist das
die sauberste Lösung IMO.

ciao Ralph

Hallo,

Am 05.07.2007 11:11 schrieb Ralph Lehmann:
> Kannst Du OpenVPN nicht als Dienst laufen und automatisch starten
> lassen? Wenn immer die gleiche Verbindung aufgebaut werden soll, ist das
> die sauberste Lösung IMO.

wie gibt man da das Passwort ein? Kommt da dann auch ein Dialog?


--
Gruss
Alex

Alexander Goetzenstein schrieb:
> Hallo,
>
> Am 05.07.2007 11:11 schrieb Ralph Lehmann:
>> Kannst Du OpenVPN nicht als Dienst laufen und automatisch starten
>> lassen? Wenn immer die gleiche Verbindung aufgebaut werden soll, ist das
>> die sauberste Lösung IMO.
>
> wie gibt man da das Passwort ein? Kommt da dann auch ein Dialog?

IIRC nein. Ist es denn bei Euch zwingend erforderlich, das VPN
zusätzlich mittels Passwort zu schützen?

ciao Ralph

Hallo Alexander Goetzenstein,

"Alexander Goetzenstein" alexander_goetzenstein@web.de schrieb:
>> Die müssen ihr
>> Programm fit für Vista machen - insbesondere, damit es ohne
>> administrative Rechte funktioniert.
>
> Warum funktioniert das Routen-Setzen nicht, wenn der User Mitglied in
> Netzwerkkonfigurations-Operatoren ist?

gute Frage. Wie genau gehst Du dabei vor und welche Fehlermeldung
erhälst Du? Eigentlich sollte das gehen, denn dafür ist diese Gruppe
gemacht. Siehe dazu:

CreateIpForwardEntry
http://msdn2.microsoft.com/en-us/library/aa365860.aspx

"This function executes a privileged operation. For this function to
execute successfully, the caller must be logged on as a member of the
Administrators group or the NetworkConfigurationOperators group."

Viele Grüße!
--
..aniel Melanchthon:.
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!