Доброго времени суток всем,
У меня проблемы с тем, чтобы приложение с графическим интерфейсом OpenVPN добавляло маршруты клиенту Windows 7. Я использую тот же файл конфигурации, что и в клиенте Windows XP, за исключением того, что добавил следующие две строки:
route-method exe
route-delay 2
Я могу установить соединение, и мне назначен IP-адрес из пула 10.8.0.0, что заставляет меня думать, что туннель работает. Но, глядя на журнал ниже, кажется, что маршруты не добавляются на машине с Windows 7.
Fri Sep 13 16:02:44 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Fri Sep 13 16:02:44 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Sep 13 16:02:44 2013 Need hold release from management interface, waiting...
Fri Sep 13 16:02:45 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'state on'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'log all on'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'hold off'
Fri Sep 13 16:02:45 2013 MANAGEMENT: CMD 'hold release'
Fri Sep 13 16:02:48 2013 MANAGEMENT: CMD 'username "Auth" "username"'
Fri Sep 13 16:02:48 2013 MANAGEMENT: CMD 'password [...]'
Fri Sep 13 16:02:49 2013 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Sep 13 16:02:49 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Socket Buffers: R=[8192->8192] S=[261360->261360]
Fri Sep 13 16:02:49 2013 UDPv4 link local: [undef]
Fri Sep 13 16:02:49 2013 UDPv4 link remote: [AF_INET]501.2.984.233:1194
Fri Sep 13 16:02:49 2013 MANAGEMENT: >STATE:1379102569,WAIT,,,
Fri Sep 13 16:02:49 2013 MANAGEMENT: >STATE:1379102569,AUTH,,,
Fri Sep 13 16:02:49 2013 TLS: Initial packet from [AF_INET]501.2.984.233:1194, sid=82453eea 30481972
Fri Sep 13 16:02:49 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Sep 13 16:02:49 2013 VERIFY OK: depth=1, O=Central Truck Center, Inc., OU=IT/Systems Department, emailAddress=security@centraltruck.net, L=Landover, ST=MD, C=US, CN=ca.centraltruck.net
Fri Sep 13 16:02:49 2013 VERIFY OK: nsCertType=SERVER
Fri Sep 13 16:02:49 2013 VERIFY OK: depth=0, C=US, ST=MD, O=Central Truck Center, Inc., OU=IT/Systems Department, L=Landover, CN=centraltruck.net, emailAddress=techsupport@centraltruck.net
Fri Sep 13 16:02:49 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 13 16:02:49 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 13 16:02:49 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 13 16:02:49 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Sep 13 16:02:49 2013 [centraltruck.net] Peer Connection Initiated with [AF_INET]50.242.184.133:1194
Fri Sep 13 16:02:50 2013 MANAGEMENT: >STATE:1379102570,GET_CONFIG,,,
Fri Sep 13 16:02:51 2013 SENT CONTROL [centraltruck.net]: 'PUSH_REQUEST' (status=1)
Fri Sep 13 16:02:51 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 172.23.6.127,dhcp-option WINS 172.23.6.127,dhcp-option DOMAIN centraltruck.net,ip-win32 dynamic,route 172.23.6.0 255.255.255.0,route 172.23.7.0 255.255.255.0,route 208.197.153.0 255.255.255.0,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: timers and/or timeouts modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: --ifconfig/up options modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: route options modified
Fri Sep 13 16:02:51 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Sep 13 16:02:52 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Sep 13 16:02:52 2013 MANAGEMENT: >STATE:1379102572,ASSIGN_IP,,10.8.0.6,
Fri Sep 13 16:02:52 2013 open_tun, tt->ipv6=0
Fri Sep 13 16:02:52 2013 TAP-WIN32 device [Local Area Connection 3] opened: \\.\Global\{19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987}.tap
Fri Sep 13 16:02:52 2013 TAP-Windows Driver Version 9.9
Fri Sep 13 16:02:52 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri Sep 13 16:02:52 2013 Successful ARP Flush on interface [41] {19F13E2F-B3F0-4E85-A8A2-E3C86ADD1987}
Fri Sep 13 16:02:54 2013 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
Fri Sep 13 16:02:54 2013 Route: Waiting for TUN/TAP interface to come up...
Последние две строки выше будут повторяться примерно 30 раз, затем появится уведомление о том, что VPN подключен с IP-адресом 10.8.0.6. Однако последняя строка журнала показывает следующее:
Fri Sep 13 16:03:24 2013 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Fri Sep 13 16:03:24 2013 MANAGEMENT: >STATE:1379102604,CONNECTED,ERROR,10.8.0.6,50.242.184.133
Несколько поисковых запросов в Google показали, что мне нужно было запустить приложение с правами администратора. Я делаю это и даже пытался запустить приложение в режиме совместимости с Windows Vista. По какой-то странной причине я не могу выбрать Windows XP. Что-то мне не хватает? Моя конфигурация - без двух строк, о которых я вам говорил ранее - отлично работает в Windows XP. Кроме того, он отлично работает на машине с Windows 7, если я использую клиент OpenVPN (а не графический интерфейс OpenVPN).
Я надеюсь, что кто-то уже сталкивался с этой проблемой раньше и может предложить некоторую помощь. Спасибо.
Это связано с разрешениями. Запускать от имени администратора с отключенным UAC и работать будет. Вы должны отключить UAC.
Или вы можете запустить VPN как службу, и она будет правильно подключаться и добавлять маршруты.
режим совместимости
Это не имеет значения.
Всем привет,
Я искренне благодарен за помощь Зоредаш и Дэвиду Макинтошу. Вы оба внесли предложения, которые указали мне правильное направление.
Полное отключение UAC сработало для меня, как и изменение двоичного файла openvpn-gui, чтобы он всегда запускался от имени администратора для всех пользователей. Однако, к сожалению, мне было неудобно, если мои пользователи отключили UAC навсегда - или с обязательной перезагрузкой, которая должна выполняться каждый раз, когда UAC включается или отключается. Это означало перезагрузку каждый раз, когда они использовали VPN и отключались от нее.
Поэтому я искал дополнительные решения и наткнулся на несколько, в которых предлагалось отключить UAC только для администраторов. Поскольку большинство моих пользователей, которым нужен VPN, обычно являются локальными администраторами на своих ноутбуках, я решил, что это решение сработает. Я протестировал его, и он действительно работал. Вот мое окончательное решение.
Я создал два отдельных файла .reg, чтобы изменить системный реестр следующим образом:
ФАЙЛ РЕГИСТРАЦИИ №1: Отключить UACforAdmin
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000000
ФАЙЛ РЕГИСТРАЦИИ №2: EnableUACforAdmin
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000002
Чтобы это заработало, мне пришлось запустить графический интерфейс OpenVPN от имени администратора. Благодаря предложению Дэвида Макинтоша я изменил exe-файл, чтобы он всегда запускался от имени администратора для всех пользователей. Теперь время было ключевым - мне нужно было убедиться, что UAC был отключен, прежде чем даже было инициировано VPN-соединение. К счастью, графический интерфейс OpenVPN поддерживает создание сценария предварительного подключения путем простого создания командного файла с тем же именем, что и файл конфигурации, с суффиксом _pre.
Итак, я создал сценарий предварительного подключения для вызова моего ОтключитьUACforAdmin сценарий следующим образом:
regedit.exe /s DisableUACforAdmin.reg
Наконец, я создал сценарий отключения, чтобы повторно включить UAC, когда туннель VPN отключен, - таким образом, вернув компьютер пользователя в исходное состояние.
Вот что я сделал:
regedit.exe /s EnableUACforAdmin.reg
При этом графический интерфейс OpenVPN работает без каких-либо нареканий, маршруты отправляются с сервера и правильно настроены на клиенте Windows 7. Я тестировал это на нескольких машинах с Windows 7, и все работает. Поступая таким образом, я избегаю обязательной перезагрузки, связанной с отключением UAC. Еще раз спасибо за всю помощь, я надеюсь, что это принесет пользу кому-нибудь с той же проблемой, с которой я столкнулся.
ЗАКЛЮЧИТЕЛЬНОЕ ПРИМЕЧАНИЕ: Я понял, что графический интерфейс OpenVPN, представленный на http://openvpn.se не нравятся некоторые директивы в файле конфигурации (например, скрипт-безопасность или ключевое направление) и не запустится, пока вы их не закомментируете. Возможно, это не относится ко всем, но мне пришлось использовать графический интерфейс OpenVPN, который поставляется с выпуск 2.3.2 OpenVPN
Чтобы заставить его работать у меня, я захожу в двоичный файл openvpn-gui, выбираю Свойства, Выбрать Изменить настройки для всех пользователейи щелкните Запустите эту программу от имени администратора в этом окне. Остановите и перезапустите Openvpn-gui.
Ответы, прежде всего, касаются "официального" клиента openvpn - клиента Securepoint. http://sourceforge.net/projects/securepoint/ не страдает этой проблемой, а также имеет открытый исходный код.
Может или не может относиться к рассматриваемой версии: OpenVPN с Sophos SSL VPN также столкнулся с проблемой, когда служба «OpenVPN Interactive Service» не запускалась успешно при загрузке. Клиентский компьютер был Lenovo Thinkpad T530 и поставлялся с предустановленными службами от Lenovo, которые вызывали проблему.
Рассматриваемые услуги: Fastboot HyperW7
Проблема была менее выражена после запуска обновлений Lenovo и Intel, но иногда по-прежнему "Интерактивная служба OpenVPN" отключалась по таймауту при загрузке компьютера.
Если вы отключите обе службы Lenovo, указанные выше, «Интерактивная служба OpenVPN» сможет запуститься. Похоже, что программисты Lenovo возятся с тем, что разрешено запускать, а что может останавливать при загрузке, плохо работают с OpenVPN.
Как только «Интерактивная служба OpenVPN» получает разрешение на правильную работу при запуске, она может позволить OpenVPN фиксировать маршруты даже при входе в систему стандартного пользователя.
Нет необходимости в «Запуск от имени администратора» или повышении привилегий учетной записи пользователя.
Попробуйте перезапустить службу DHCP-клиента (как предлагается в этой теме). https://forums.openvpn.net/topic13043.html#p41604). В моем случае это сработало.