Jump to content

OpenVPN

Pyrithe

By Pyrithe
in Réseaux

 Share

Recommended Posts

Pyrithe Community Regular

Pyrithe

Posted
Posted

Bonjour tout le monde!

 

Je vous signal la mise en ligne cette semaine d'articles sur OpenVPN.

 

Dès demain matin, un article traitera d'OpenVPN en configuration "clé statique". J'attire votre attention sur le fait que cette configuration est présentée pour des besoins de tests uniquement. Sa sécurité n'est pas assez importante pour être mise en production.

 

Suivra une série d'articles sur cet outil.

Je pense que je mettrais en ligne vendredi matin un article sur OpenVPN avec SSL et PKI (qui là pour le coup est suffisamment sécurisé), et surtout permet une config multiclients.

Ensuite si j'ai le temps, samedi viendra un article sur la sécurisation réseau (à travers un firewall frontal) dans le cadre de la mise en place d'un VPN, avec quelques bonne pratiques de sécurisation d'un réseau.

 

Donc pour tous ceux qui ont des besoins en termes d'accès distants, de communication réseau, et de sécurité, suivez les articles sur Tech2Tech, ca devrait vous plaire! :)

Link to comment
Share on other sites
argon1515 Newbie

argon1515

Posted
Posted

Bonjour  Pyrithe,
Merci pour tes articles bien documentés, je les lis avec plaisir.
J'ai une interrogation concernant OpenVPN.
Nous l'utilisons dans l'entreprise ou je travail et nous somme confronté à un problème.
Comment utiliser le client OpenVPN sur des PC en windows 7 32 ou 64 bits voir windows 8 avec des utilisateurs qui ne sont pas administrateurs de leur PC ?
 

Link to comment
Share on other sites
Pyrithe Community Regular

Pyrithe

Posted
  • Author
Posted

Bonjour  Pyrithe,

Merci pour tes articles bien documentés, je les lis avec plaisir.

 

Je te remercie :)

 

 

J'ai une interrogation concernant OpenVPN.

Nous l'utilisons dans l'entreprise ou je travail et nous somme confronté à un problème.

Comment utiliser le client OpenVPN sur des PC en windows 7 32 ou 64 bits voir windows 8 avec des utilisateurs qui ne sont pas administrateurs de leur PC ?

J'imagine que vous utilisez une version 1.X ?

Passez en v2.6, ca solutionne pas mal de problème, dont depuis la v2.1 :

  • L'accès à un non-admin à l'interface réseau virtuelle
  • Le lancement d'OpenVPN GUI par un non admin

Si ca ne suffit pas, c'est peut-être un problème de droits sur les routes.

Si ta conf contient des add-route, alors il faudra peut-être ajouter l'utilisateur dans le groupe "Opérateurs de configuration réseau".

 

Tiens moi au courant en tous cas.

Tous les cas de figure impliquant OpenVPN m’intéressent :)

Link to comment
Share on other sites
Pyrithe Community Regular

Pyrithe

Posted
  • Author
Posted

Merci Pyrithe pour ces éclaircissements, je regarde ça en début de semaine prochaine et je te tiens au courant.

Bon week end

Ok.

Si tu peux, reviens avec un bout de log coté client lorsque tu essaye de lancer une connexion qui ne fonctionne pas, ca sera plus parlant! :)

Link to comment
Share on other sites
argon1515 Newbie

argon1515

Posted
Posted

Bonjour Pyrithe,

J'ai installé sur le PC windows 7 64 bit :

 

- openvpn-install-2.3.6-I601-x86_64.exe

 

- ajouté l'utilisateur courant toto ( simple utilisateur ) dans le groupe groupe "Opérateurs de configuration réseau".

- fermer / ouvrir la session avec le compte toto

 

Voici les erreurs ci dessous

Mon Feb 02 07:57:15 2015 Warning: cannot open --log file: C:\Program Files\OpenVPN\log\toto.log: Accès refusé.   (errno=5)
.....

Mon Feb 02 07:57:22 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 92.22.251.226/255.255.255.252 on interface {2F875AA2-E8F7-4E77-B33E-6E247F1F299F} [DHCP-serv: 92.22.251.225, lease-time: 31536000]
Mon Feb 02 07:57:22 2015 NOTE: FlushIpNetTable failed on interface [14] {2F875AA2-E8F7-4E77-B33E-6E247F1F299F} (status=5) : Accès refusé.  
Mon Feb 02 07:57:24 2015 TEST ROUTES: 11/11 succeeded len=11 ret=1 a=0 u/d=up
Mon Feb 02 07:57:24 2015 MANAGEMENT: >STATE:1422860244,ADD_ROUTES,,,
Mon Feb 02 07:57:24 2015 C:\Windows\system32\route.exe ADD 92.22.0.0 MASK 255.255.192.0 92.22.251.225
Mon Feb 02 07:57:24 2015 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mon Feb 02 07:57:24 2015 ERROR: Windows route add command failed: returned error code 1
Mon Feb 02 07:57:24 2015 C:\Windows\system32\route.exe ADD 92.22.64.0 MASK 255.255.224.0 92.22.251.225
Mon Feb 02 07:57:24 2015 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mon Feb 02 07:57:24 2015 ERROR: Windows route add command failed: returned error code 1
.....

NB :

le même test avec l'utilisateur dans le groupe administrateur engendre les mêmes erreurs.
le même test avec l'utilisateur dans le groupe administrateur + exécuter ce programme en tant qu'administrateur --> demande d’élévation de privilèges réponse OUI --> Ça fonctionne il n'y a plus d'erreur.

 

Voila

 

Link to comment
Share on other sites
argon1515 Newbie

argon1515

Posted
Posted

Ce qui est curieux c'est que dans la plupart des entreprises pour des questions évidentes de sécurité les utilisateurs ne sont pas administrateur de leur PC.

Le service informatique installe et configure les logiciels sur le PC en étant administrateur.

L'utilisateur s'en sert avec des droits "simple utilisateur"

 

Par contre si tu fais une recherche google "openvpn sans droit administrateur" et que tu t'intéresses aux résultats concernant windows 7 / 8 tu commences a entrevoir un bout du problème :

 

http://doc.cliss21.com/index.php?title=Configuration_OpenVPN

"Vous devrez a priori exécuter OpenVPN en tant qu'administrateur pour permettre la modification des routes réseau du système."

 

https://community.openvpn.net/openvpn/wiki/OpenVPN-GUI

"Please note the GUI will start the VPN process in the context of the running user. When this user does not have administrative rights (or has rights limited through UAC)  ..."

 

On trouve une solution pour lancer OpenVPN en mode service mais dans ce cas l'utilisateur ne peut plus saisir le mot de passe de la clef privée ( il n'y a plus de fenêtre popup qui s'ouvre )

 

Comme tu l'as dis : Tous les cas de figure impliquant OpenVPN m’intéressent :)

 

Voila à mon avis un cas intéressant, mais pas aussi simple qu'il n'y parait ...

Link to comment
Share on other sites
  • 2 weeks later...
argon1515 Newbie

argon1515

Posted
Posted

Bonjour Chris74, Pyrithe,

J'ai testé la solution préconisé dans le lien fourni.
- Sous un windows 7 32 bit
- Sous un windows 7 64 bit
Ça fonctionne sans problème :)

Quelques remarques cependant :

Il faut avec le compte administrateur :

Installer la dernière version d'open vpn (openvpn-install-2.3.6-I601-x86_64.exe)

En entreprise, recopier le certificat, clés ... de l'utilisateur sous c:\Program Files\OpenVPN\config ( pour 64 bit )

Exécuter Elevation2008_06.exe et choisir le chemin c:\Program Files\OpenVPN\Bin ( pour 64 bit ) --> une entrée dans programme et fonctionnalité est créé.

Créer un fichier batch, vpn.cmd avec par exemple :
runas /savecred /user:Domaine\CompteAdministrateur "c:\Program Files\OpenVPN\Bin\Elevation\elevate.cmd openvpn-gui.exe --connect prenom.nom.ovpn"

Le copier sur le bureau de l'utilisateur "non admin"

 

*******************************************************************

Ouvrir la session de l'utilisateur "non admin"

NB ne pas exécuter OpenVPN GUI ( éventuellement supprimer le raccourci ) mais le lancer par le batch vpn.cmd

Exécuter vpn.cmd  et renseigner 1 unique fois le mot de passe du ( user:Domaine\CompteAdministrateur )

En entreprise, renseigner le mot de passe protégeant la clé privée de l'utilisateur "non admin", qui vous sera demandé lors de l'établissement du tunnel.

Vérifier le log de connection --> Plus d'erreur

 

Dernière remarque Compatible avec Vista et Win 7 version pro ou intégrale uniquement

 

Si quelqu'un test avec windows 8.1 ( 32 & 64 bit ) je suis preneur du résultat ...

 

En tout cas, un grand MERCI à vous deux ;)
 

Link to comment
Share on other sites
 Share
Go to topic listing
×
×
  • Create New...