皆さんこんにちは。
OpenVPN GUI アプリケーションで Windows 7 クライアントにルートを追加する際に問題が発生しています。Windows XP クライアントで使用したのと同じ構成ファイルを使用していますが、次の 2 行を追加しました。
route-method exe
route-delay 2
接続は可能で、10.8.0.0 プールから IP アドレスが割り当てられているため、トンネルは稼働しているように見えます。しかし、以下のログを見ると、ルートが Windows 7 マシンに追加されていないようです。
Fri Sep 13 16:02:44 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Fri Sep 13 16:02:44 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Sep 13 16:02:44 2013 Need hold release from management interface, waiting...
Fri Sep 13 16:02:45 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'state on'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'log all on'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'hold off'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'hold release'
Fri Sep 13 16:02:48 2013 MANAGEMENT: CMD 'username "Auth" "username"'
Fri Sep 13 16:02:48 2013 MANAGEMENT: CMD 'password [...]'
Fri Sep 13 16:02:49 2013 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Sep 13 16:02:49 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Socket Buffers: R=[8192->8192] S=[261360->261360]
Fri Sep 13 16:02:49 2013 UDPv4 link local: [undef]
Fri Sep 13 16:02:49 2013 UDPv4 link remote: [AF_INET]501.2.984.233:1194
Fri Sep 13 16:02:49 2013 MANAGEMENT: >STATE:1379102569,WAIT,,,
Fri Sep 13 16:02:49 2013 MANAGEMENT: >STATE:1379102569,AUTH,,,
Fri Sep 13 16:02:49 2013 TLS: Initial packet from [AF_INET]501.2.984.233:1194, sid=82453eea 30481972
Fri Sep 13 16:02:49 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Sep 13 16:02:49 2013 VERIFY OK: depth=1, O=Central Truck Center, Inc., OU=IT/Systems Department, [email protected], L=Landover, ST=MD, C=US, CN=ca.centraltruck.net
Fri Sep 13 16:02:49 2013 VERIFY OK: nsCertType=SERVER
Fri Sep 13 16:02:49 2013 VERIFY OK: depth=0, C=US, ST=MD, O=Central Truck Center, Inc., OU=IT/Systems Department, L=Landover, CN=centraltruck.net, [email protected]
Fri Sep 13 16:02:49 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 13 16:02:49 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 13 16:02:49 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Sep 13 16:02:49 2013 [centraltruck.net] Peer Connection Initiated with [AF_INET]50.242.184.133:1194
Fri Sep 13 16:02:50 2013 MANAGEMENT: >STATE:1379102570,GET_CONFIG,,,
Fri Sep 13 16:02:51 2013 SENT CONTROL [centraltruck.net]: 'PUSH_REQUEST' (status=1)
Fri Sep 13 16:02:51 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 172.23.6.127,dhcp-option WINS 172.23.6.127,dhcp-option DOMAIN centraltruck.net,ip-win32 dynamic,route 172.23.6.0 255.255.255.0,route 172.23.7.0 255.255.255.0,route 208.197.153.0 255.255.255.0,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: timers and/or timeouts modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: --ifconfig/up options modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: route options modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Sep 13 16:02:52 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Sep 13 16:02:52 2013 MANAGEMENT: >STATE:1379102572,ASSIGN_IP,,10.8.0.6,
Fri Sep 13 16:02:52 2013 open_tun, tt->ipv6=0
Fri Sep 13 16:02:52 2013 TAP-WIN32 device [Local Area Connection 3] opened: \\.\Global\{19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987}.tap
Fri Sep 13 16:02:52 2013 TAP-Windows Driver Version 9.9
Fri Sep 13 16:02:52 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri Sep 13 16:02:52 2013 Successful ARP Flush on interface [41] {19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987}
Fri Sep 13 16:02:54 2013 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
Fri Sep 13 16:02:54 2013 Route: Waiting for TUN/TAP interface to come up...
上記の最後の 2 行が約 30 回繰り返され、VPN が IP 10.8.0.6 に接続されていることを示す通知が表示されます。ただし、ログの最後の行には次の内容が表示されます。
Fri Sep 13 16:03:24 2013 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Fri Sep 13 16:03:24 2013 MANAGEMENT: >STATE:1379102604,CONNECTED,ERROR,10.8.0.6,50.242.184.133
Google で何度か検索してみると、管理者権限でアプリケーションを実行する必要があることがわかりました。そのように実行しており、Windows Vista 互換モードでアプリケーションを実行しようとも試みました。どういうわけか、Windows XP は選択できるオプションではありません。何か見落としているのでしょうか? 先ほど説明した 2 行を除く私の構成は、Windows XP で完全に正常に動作します。また、OpenVPN クライアント (OpenVPN GUI ではない) を使用すると、Windows 7 マシンでも正常に動作します。
この問題に遭遇したことのある人がいて、何らかの支援を提供できることを願っています。ありがとうございます。
答え1
これは権限に関係しています。UAC を無効にして管理者として実行すると動作します。UAC を無効にする必要があります。
または、VPN をサービスとして実行すると、正しく接続され、ルートが追加されます。
互換モード
それらは何の違いも生まないでしょう。
答え2
こんにちは皆さん、
Zoredache と David Mackintosh の援助に心から感謝しています。お二人は私を正しい方向に導く提案をしてくれました。
UAC を完全に無効にしたり、openvpn-gui バイナリを変更してすべてのユーザーに対して常に管理者として実行したりすることは、私の場合はうまくいきました。しかし、残念ながら、ユーザーに UAC を永久に無効にさせたり、UAC を有効または無効にするたびに強制的に再起動させたりすることには抵抗がありました。つまり、VPN を使用したり切断したりするたびに再起動が必要だったのです。
そこで、追加の解決策を探してみたところ、管理者のみ UAC を無効にすることを提案するいくつかの解決策を見つけました。VPN 接続を必要とするユーザーのほとんどは、通常、ラップトップのローカル管理者であるため、この解決策が機能するだろうと考えました。そこでテストしたところ、うまくいきました。これが最終的な解決策です。
次のようにシステム レジストリを変更するために、2 つの個別の .reg ファイルを作成しました。
レジストリ ファイル #1: DisableUACforAdmin
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000000
レジストリ ファイル #2: EnableUACforAdmin
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000002
これを機能させるには、OpenVPN GUIを管理者として実行する必要がありました。David Mackintoshの提案のおかげで、exeファイルを修正して、すべてのユーザーに対して常に管理者として実行するようにしました。ここで重要なのはタイミングです。VPN接続が開始される前にUACが無効になっていることを確認する必要がありました。幸いなことに、OpenVPN GUIは、設定ファイルと同じ名前で接尾辞が「」のバッチファイルを作成するだけで、事前接続スクリプトの作成をサポートしています。_前。
そこで私は接続前のスクリプトを作成し、管理者のUACを無効にするスクリプトは次のようになります。
regedit.exe /s DisableUACforAdmin.reg
最後に、VPN トンネルが切断されたときに UAC を再度有効にして、ユーザーのマシンを元の状態に戻すダウン スクリプトを作成しました。
私がやったことは次のとおりです:
regedit.exe /s EnableUACforAdmin.reg
これにより、OpenVPN GUI は問題なく実行され、ルートはサーバーからプッシュされ、Windows 7 クライアントで適切に設定されます。私はこれを複数の Windows 7 マシンでテストしましたが、すべて機能しました。この方法により、UAC を無効にすることで発生する強制的な再起動を回避できます。すべての支援に改めて感謝します。これが、私と同じ問題に遭遇した誰かの役に立つことを願っています。
最終注記: 私は、OpenVPN GUIが出典: http://openvpn.se設定ファイル内のいくつかのディレクティブ(例えばスクリプトセキュリティまたはキー方向)をコメントアウトしないと起動しません。これはすべてに当てはまるとは限りませんが、私はOpenVPN GUIを使用する必要がありました。OpenVPN リリース 2.3.2
答え3
これを動作させるには、openvpn-guiバイナリに移動し、プロパティ、 選択するすべてのユーザーの設定を変更するをクリックし、このプログラムを管理者として実行するそのウィンドウで、Openvpn-gui を停止して再起動します。
答え4
問題のバージョンに当てはまる場合と当てはまらない場合があります: OpenVPN w/ Sophos SSL VPN でも、「OpenVPN Interactive Service」サービスが起動時に正常に開始されないという問題が発生しました。クライアント マシンは Lenovo Thinkpad T530 で、問題の原因となっていた Lenovo のプリインストールされたサービスが付属していました。
問題のサービス: Fastboot HyperW7
Lenovo および Intel のアップデートを実行した後、この問題はそれほど顕著ではなくなりましたが、コンピューターの起動時に「OpenVPN Interactive Service」がタイムアウトすることがありました。
上記の両方の Lenovo サービスを無効にすると、「OpenVPN Interactive Service」を起動できるようになります。起動時に何を開始できるか、何を一時停止できるかをいじっている Lenovo のプログラマーが、OpenVPN とうまく連携できないようです。
「OpenVPN Interactive Service」が起動時に適切に実行されるようになれば、標準ユーザーがログインしている場合でも OpenVPN がルートをコミットできるようになります。
「管理者として実行」やユーザー アカウントの権限の昇格は必要ありません。