OpenVPN, OpenVPN GUI, droits admin et « add route »…

closeCet article a été publié il y a 15 ans 11 mois 25 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

Si vous avez besoin de donner un accès OpenVPN sur des PC Windows à des personnes n’étant pas admin de leur poste (ce qui est largement raisonnable), il y a 2/3 pièges. Je vous fais part de mes recherches sur le sujet. Au final, c’est possible. Ouf !
Les pièges sont :
– pouvoir accéder à l’interface virtuelle en tant que non-admin
– pouvoir ajouter des routes en tant que non-admin
– pouvoir utiliser proprement le OpenVPN GUI en tant que non-admin.

Accéder à l’interface réseau virtuelle

OpenVPN 2.0 ne permet pas d’exploiter la carte virtuelle si vous n’êtes pas admin, d’après ce que j’en comprends vu la remarque sur la version 2.1 sur le site :

TAP-Win32 adapter can now be opened from non-administrator mode

En fait sur ce sujet, avec OpenVPN 2.0, je ne sais plus si j’avais simplement un problème pour accéder à l’interface virtuelle ou pour créer des « routes » ou les 2. J’ai opté pour la 2.1 RC7 (et tant pis si ce n’est pas la finale).

Pour résoudre à coup sûr ce problème, utilisez la version 2.1.

Ajouter des « routes »

Une fois que l’utilisateur sans droit est capable de lancer l’openvpn, vous vous chopez des erreurs sur vos routes ajoutées dans la conf de votre VPN histoire que tout ce petit monde communique avec le reste de votre infra. En effet, sous Windows, le « add route » est réservé à l’admin… ou plus simplement aux personnes du groupe « Opérateurs de configuration réseau ».
Donc ajoutez vos utilisateurs sans droits là-dedans. Ils ne seront pas admin complet mais pourront déjà abîmer leur configuration réseau…

Impossible d’écrire des logs par le GUI

Si vous avez cette erreur, pensez à donner les droits d’écriture sur tout le répertoire C:\Program Files\OpenVPN\log, pour tout le monde, ou, moins bourrin, pour votre utilisateur.
Notez : le GUI OpenVPN est intégré à OpenVPN 2.1 maintenant. Ce n’est pas le cas avec le package 2.0

Cette fois, c’est bon, votre utilisateur presque-sans-droit peut faire du VPN et massacrer involontairement votre LAN depuis chez lui… :/

2 comments

  1. oui, vrai, mais il y a des alternatives
    notez que:
    1) pour la log d’openvpn, il est possible de la diriger dans un dossier propre à l’utilisateur par l »option –log_dir
    2) pour les droits d’admin nécessaire pour ajouter les routes, une soution est de d’utiliser « exécuter comme » ou la commande runas /user:compte_administrateur.
    l’option /savecred permet d’enregistrer le passwaord du compte SANS le communique à l’utilisateur.
    à+
    PO.

  2. Merci pour l’astuce du groupe, ça marche au poil ! Je me permets une autre astuce pour rendre le lancement un peu plus transparent pour un utilisateur lamba:
    – Passer l’arguement –connect config.ovpn (ou config = nom du fichier)
    Cela permet d’éviter à l’user de faire clic droit connect dans l’icone du system-tray.
    Cdt
    Sébastien

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.