Guten Tag allerseits,
Ich habe Probleme, die OpenVPN-GUI-Anwendung dazu zu bringen, Routen zu einem Windows 7-Client hinzuzufügen. Ich verwende dieselbe Konfigurationsdatei, die ich auf einem Windows XP-Client verwendet habe, außer dass ich die folgenden beiden Zeilen hinzugefügt habe:
route-method exe
route-delay 2
Ich kann eine Verbindung herstellen und bekomme eine IP-Adresse aus dem Pool 10.8.0.0 zugewiesen – was für mich den Eindruck erweckt, dass der Tunnel aktiv ist. Aber wenn ich mir das Protokoll unten anschaue, sieht es so aus, als würden die Routen auf dem Windows 7-Rechner nicht hinzugefügt.
Fri Sep 13 16:02:44 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Fri Sep 13 16:02:44 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Sep 13 16:02:44 2013 Need hold release from management interface, waiting...
Fri Sep 13 16:02:45 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'state on'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'log all on'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'hold off'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'hold release'
Fri Sep 13 16:02:48 2013 MANAGEMENT: CMD 'username "Auth" "username"'
Fri Sep 13 16:02:48 2013 MANAGEMENT: CMD 'password [...]'
Fri Sep 13 16:02:49 2013 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Sep 13 16:02:49 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Socket Buffers: R=[8192->8192] S=[261360->261360]
Fri Sep 13 16:02:49 2013 UDPv4 link local: [undef]
Fri Sep 13 16:02:49 2013 UDPv4 link remote: [AF_INET]501.2.984.233:1194
Fri Sep 13 16:02:49 2013 MANAGEMENT: >STATE:1379102569,WAIT,,,
Fri Sep 13 16:02:49 2013 MANAGEMENT: >STATE:1379102569,AUTH,,,
Fri Sep 13 16:02:49 2013 TLS: Initial packet from [AF_INET]501.2.984.233:1194, sid=82453eea 30481972
Fri Sep 13 16:02:49 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Sep 13 16:02:49 2013 VERIFY OK: depth=1, O=Central Truck Center, Inc., OU=IT/Systems Department, [email protected], L=Landover, ST=MD, C=US, CN=ca.centraltruck.net
Fri Sep 13 16:02:49 2013 VERIFY OK: nsCertType=SERVER
Fri Sep 13 16:02:49 2013 VERIFY OK: depth=0, C=US, ST=MD, O=Central Truck Center, Inc., OU=IT/Systems Department, L=Landover, CN=centraltruck.net, [email protected]
Fri Sep 13 16:02:49 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 13 16:02:49 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 13 16:02:49 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Sep 13 16:02:49 2013 [centraltruck.net] Peer Connection Initiated with [AF_INET]50.242.184.133:1194
Fri Sep 13 16:02:50 2013 MANAGEMENT: >STATE:1379102570,GET_CONFIG,,,
Fri Sep 13 16:02:51 2013 SENT CONTROL [centraltruck.net]: 'PUSH_REQUEST' (status=1)
Fri Sep 13 16:02:51 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 172.23.6.127,dhcp-option WINS 172.23.6.127,dhcp-option DOMAIN centraltruck.net,ip-win32 dynamic,route 172.23.6.0 255.255.255.0,route 172.23.7.0 255.255.255.0,route 208.197.153.0 255.255.255.0,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: timers and/or timeouts modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: --ifconfig/up options modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: route options modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Sep 13 16:02:52 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Sep 13 16:02:52 2013 MANAGEMENT: >STATE:1379102572,ASSIGN_IP,,10.8.0.6,
Fri Sep 13 16:02:52 2013 open_tun, tt->ipv6=0
Fri Sep 13 16:02:52 2013 TAP-WIN32 device [Local Area Connection 3] opened: \\.\Global\{19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987}.tap
Fri Sep 13 16:02:52 2013 TAP-Windows Driver Version 9.9
Fri Sep 13 16:02:52 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri Sep 13 16:02:52 2013 Successful ARP Flush on interface [41] {19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987}
Fri Sep 13 16:02:54 2013 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
Fri Sep 13 16:02:54 2013 Route: Waiting for TUN/TAP interface to come up...
Die letzten beiden Zeilen oben werden etwa 30 Mal wiederholt, dann erscheint ein Hinweis, der anzeigt, dass das VPN mit der IP 10.8.0.6 verbunden ist. Die letzte Zeile des Protokolls zeigt jedoch Folgendes:
Fri Sep 13 16:03:24 2013 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Fri Sep 13 16:03:24 2013 MANAGEMENT: >STATE:1379102604,CONNECTED,ERROR,10.8.0.6,50.242.184.133
Mehrere Google-Suchen haben ergeben, dass ich die Anwendung mit Administratorrechten ausführen muss. Das tue ich und habe sogar versucht, die Anwendung im Windows Vista-Kompatibilitätsmodus auszuführen. Aus irgendeinem seltsamen Grund ist Windows XP keine Option, die ich auswählen kann. Übersehe ich etwas? Meine Konfiguration – ohne die beiden Zeilen, von denen ich Ihnen zuvor erzählt habe – funktioniert unter Windows XP einwandfrei. Außerdem funktioniert sie auf dem Windows 7-Rechner einwandfrei, wenn ich den OpenVPN-Client verwende (und nicht die OpenVPN-GUI).
Ich hoffe, dass jemand da draußen schon einmal auf dieses Problem gestoßen ist und Hilfe anbieten kann. Danke.
Antwort1
Es hat mit Berechtigungen zu tun. Führen Sie es als Administrator mit deaktivierter Benutzerkontensteuerung aus, dann funktioniert es. Sie müssen die Benutzerkontensteuerung deaktivieren.
Oder Sie können das VPN als Dienst ausführen. Die Verbindung wird dann korrekt hergestellt und Routen hinzugefügt.
Kompatibilitätsmodus
Das wird keinen Unterschied machen.
Antwort2
Hallo alle,
Ich bin Zoredache und David Mackintosh für ihre Hilfe wirklich dankbar. Sie haben mir beide Vorschläge unterbreitet, die mich in die richtige Richtung gelenkt haben.
Bei mir hat es funktioniert, die Benutzerkontensteuerung ganz zu deaktivieren und die Binärdatei openvpn-gui so zu ändern, dass sie für alle Benutzer immer als Administrator ausgeführt wird. Leider war ich jedoch nicht damit einverstanden, dass meine Benutzer die Benutzerkontensteuerung dauerhaft deaktivieren – oder mit dem obligatorischen Neustart, der jedes Mal durchgeführt werden muss, wenn die Benutzerkontensteuerung aktiviert oder deaktiviert wird. Dies bedeutete jedes Mal einen Neustart, wenn sie das VPN verwendeten und die Verbindung trennten.
Also suchte ich nach weiteren Lösungen und stieß auf mehrere, die vorschlugen, die UAC nur für Administratoren zu deaktivieren. Da die meisten meiner Benutzer, die sich per VPN anmelden müssen, normalerweise lokale Administratoren auf ihren Laptops sind, ging ich davon aus, dass diese Lösung funktionieren würde. Also testete ich sie und sie funktionierte tatsächlich. Hier ist meine endgültige Lösung.
Ich habe zwei separate .reg-Dateien erstellt, um die Systemregistrierung wie folgt zu ändern:
REGISTRIERUNGSDATEI #1: DisableUACforAdmin
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000000
REGISTRIERUNGSDATEI #2: EnableUACforAdmin
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000002
Damit dies funktioniert, musste ich die OpenVPN-GUI als Administrator ausführen. Dank David Mackintoshs Vorschlag habe ich die EXE-Datei so geändert, dass sie für alle Benutzer immer als Administrator ausgeführt wird. Jetzt war das Timing entscheidend – ich musste sicherstellen, dass die UAC deaktiviert war, bevor die VPN-Verbindung überhaupt initiiert wurde. Glücklicherweise unterstützt die OpenVPN-GUI die Erstellung eines Pre-Connect-Skripts, indem einfach eine Batchdatei mit demselben Namen wie die Konfigurationsdatei mit dem Suffix erstellt wird_Vor.
Also habe ich mein Pre-Connect-Skript erstellt, um meineUACforAdmin deaktivierenSkript wie folgt:
regedit.exe /s DisableUACforAdmin.reg
Schließlich habe ich ein Down-Skript erstellt, um die Benutzerkontensteuerung wieder zu aktivieren, wenn die VPN-Tunnelverbindung getrennt wird – und so den Computer des Benutzers in den ursprünglichen Zustand zurückzusetzen.
Folgendes habe ich getan:
regedit.exe /s EnableUACforAdmin.reg
Damit läuft die OpenVPN-GUI ohne Probleme, die Routen werden vom Server übertragen und auf dem Windows 7-Client richtig eingestellt. Ich habe dies auf mehreren Windows 7-Rechnern getestet und alle funktionieren. Auf diese Weise vermeide ich den obligatorischen Neustart, der mit dem Deaktivieren der Benutzerkontensteuerung einhergeht. Nochmals vielen Dank für all die Hilfe, ich hoffe, dass dies jemandem da draußen hilft, der das gleiche Problem hat wie ich.
SCHLUSSBEMERKUNG: Mir fiel auf, dass die OpenVPN-GUI unterhttp://openvpn.seeinige Anweisungen in der Konfigurationsdatei nicht gefallen (wie etwaSkript-SicherheitoderSchlüsselrichtung) und wird nicht gestartet, es sei denn, Sie kommentieren sie aus. Dies gilt möglicherweise nicht für alle, aber ich musste die OpenVPN-GUI verwenden, die mitgeliefert wirdVersion 2.3.2 von OpenVPN
Antwort3
Damit es für mich funktioniert, gehe ich zur OpenVPN-GUI-Binärdatei, wähleEigenschaften, wählenEinstellungen für alle Benutzer ändernund klicken Sie aufFühren Sie dieses Programm als Administrator ausin diesem Fenster. Stoppen und starten Sie die OpenVPN-GUI neu.
Antwort4
Gilt möglicherweise für die betreffende Version oder auch nicht: Bei OpenVPN mit Sophos SSL VPN trat ebenfalls ein Problem auf, bei dem der Dienst „OpenVPN Interactive Service“ beim Booten nicht erfolgreich gestartet wurde. Der Client-Computer war ein Lenovo Thinkpad T530 und wurde mit vorinstallierten Diensten von Lenovo geliefert, die das Problem verursachten.
Betroffen sind die Dienste: Fastboot HyperW7
Nach dem Ausführen von Lenovo- und Intel-Updates war das Problem weniger ausgeprägt, allerdings kam es beim Booten des Computers gelegentlich immer noch zu einer Zeitüberschreitung des „OpenVPN Interactive Service“.
Wenn Sie beide oben genannten Lenovo-Dienste deaktivieren, konnte der „OpenVPN Interactive Service“ gestartet werden. Es scheint, dass die Manipulationen der Lenovo-Programmierer daran, was gestartet werden darf und was beim Booten angehalten werden darf, nicht gut mit OpenVPN funktionieren.
Sobald die ordnungsgemäße Ausführung des „OpenVPN Interactive Service“ beim Start zugelassen wird, kann OpenVPN die Routen auch dann festschreiben, wenn ein Standardbenutzer angemeldet ist.
„Als Administrator ausführen“ oder die Erhöhung der Berechtigungen eines Benutzerkontos ist nicht erforderlich.