Si vous avez besoin de donner un accès OpenVPN sur des PC Windows à des personnes n’étant pas admin de leur poste (ce qui est largement raisonnable), il y a 2/3 pièges. Je vous fais part de mes recherches sur le sujet. Au final, c’est possible. Ouf !
Les pièges sont :
– pouvoir accéder à l’interface virtuelle en tant que non-admin
– pouvoir ajouter des routes en tant que non-admin
– pouvoir utiliser proprement le OpenVPN GUI en tant que non-admin.
Accéder à l’interface réseau virtuelle
OpenVPN 2.0 ne permet pas d’exploiter la carte virtuelle si vous n’êtes pas admin, d’après ce que j’en comprends vu la remarque sur la version 2.1 sur le site :
TAP-Win32 adapter can now be opened from non-administrator mode
En fait sur ce sujet, avec OpenVPN 2.0, je ne sais plus si j’avais simplement un problème pour accéder à l’interface virtuelle ou pour créer des « routes » ou les 2. J’ai opté pour la 2.1 RC7 (et tant pis si ce n’est pas la finale).
Pour résoudre à coup sûr ce problème, utilisez la version 2.1.
Ajouter des « routes »
Une fois que l’utilisateur sans droit est capable de lancer l’openvpn, vous vous chopez des erreurs sur vos routes ajoutées dans la conf de votre VPN histoire que tout ce petit monde communique avec le reste de votre infra. En effet, sous Windows, le « add route » est réservé à l’admin… ou plus simplement aux personnes du groupe « Opérateurs de configuration réseau ».
Donc ajoutez vos utilisateurs sans droits là-dedans. Ils ne seront pas admin complet mais pourront déjà abîmer leur configuration réseau…
Impossible d’écrire des logs par le GUI
Si vous avez cette erreur, pensez à donner les droits d’écriture sur tout le répertoire C:\Program Files\OpenVPN\log
, pour tout le monde, ou, moins bourrin, pour votre utilisateur.
Notez : le GUI OpenVPN est intégré à OpenVPN 2.1 maintenant. Ce n’est pas le cas avec le package 2.0
Cette fois, c’est bon, votre utilisateur presque-sans-droit peut faire du VPN et massacrer involontairement votre LAN depuis chez lui… :/
oui, vrai, mais il y a des alternatives
notez que:
1) pour la log d’openvpn, il est possible de la diriger dans un dossier propre à l’utilisateur par l »option –log_dir
2) pour les droits d’admin nécessaire pour ajouter les routes, une soution est de d’utiliser « exécuter comme » ou la commande runas /user:compte_administrateur.
l’option /savecred permet d’enregistrer le passwaord du compte SANS le communique à l’utilisateur.
à+
PO.
Merci pour l’astuce du groupe, ça marche au poil ! Je me permets une autre astuce pour rendre le lancement un peu plus transparent pour un utilisateur lamba:
– Passer l’arguement –connect config.ovpn (ou config = nom du fichier)
Cela permet d’éviter à l’user de faire clic droit connect dans l’icone du system-tray.
Cdt
Sébastien