12
OpenVPN für non Admin-User bzw. OpenVPN alternative
Hi.
Ich wollte mal wissen, ob hier jemand ne gute kostenlose VPN Lösung für Unternehmen kennt? Unser OpenVPN dienst läuft auf einem Linux-Server und sind uns noch nicht einig, ob wir es dabei belassen.
Allerdings Ist das verwenden der Client Anwendung in Windows mit Schwierigkeiten verbunden. Das heißt für Non-Admin User das Programm als previligierter Nutzer in den autostart mit einzubinden. Wir haben das mal bei 2 Clients im Geschäft ausprobiert und hatten bei einem damit erfolg und bei dem zweiten ging das nicht weil dieser Windows 7 Premium und nicht Pro verwendet hat. OpenVPN war beim Teufel einfach nicht dazu in der Lage trotz der Rechte einen VPN-Adapter zu erstellen. Ausserdem ist das ganze administrativ ein ziemlicher "fu" bei jedem einzeln ewig die Einstellungen zu ändern und zu hoffen das das ganze dann auch klappt.
Wir haben keine Windows Active-Directory, sonst wär das über die GPO etwas leichter. Hat hier jemand mal "Sudo for Windows" bei Win-Clients ausprobiert? Deswegen die frage, kennt ihr ne gute alternative für Linux und Windows Nutzer? Der Dienst sollte auf einer Linux Kiste laufen.
Danke schonmal!
Grüße
Ich wollte mal wissen, ob hier jemand ne gute kostenlose VPN Lösung für Unternehmen kennt? Unser OpenVPN dienst läuft auf einem Linux-Server und sind uns noch nicht einig, ob wir es dabei belassen.
Allerdings Ist das verwenden der Client Anwendung in Windows mit Schwierigkeiten verbunden. Das heißt für Non-Admin User das Programm als previligierter Nutzer in den autostart mit einzubinden. Wir haben das mal bei 2 Clients im Geschäft ausprobiert und hatten bei einem damit erfolg und bei dem zweiten ging das nicht weil dieser Windows 7 Premium und nicht Pro verwendet hat. OpenVPN war beim Teufel einfach nicht dazu in der Lage trotz der Rechte einen VPN-Adapter zu erstellen. Ausserdem ist das ganze administrativ ein ziemlicher "fu" bei jedem einzeln ewig die Einstellungen zu ändern und zu hoffen das das ganze dann auch klappt.
Wir haben keine Windows Active-Directory, sonst wär das über die GPO etwas leichter. Hat hier jemand mal "Sudo for Windows" bei Win-Clients ausprobiert? Deswegen die frage, kennt ihr ne gute alternative für Linux und Windows Nutzer? Der Dienst sollte auf einer Linux Kiste laufen.
Danke schonmal!
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281387
Url: https://administrator.de/contentid/281387
Printed on: April 19, 2024 at 20:04 o'clock
12 Comments
Latest comment
Hallo,
OpenVPN als Windowsdienst, mit Autostart, oder OpenVPN als Dienst und dem Benutzer/Gruppe auf dem Rechner per Lokaler Sicherheitsrichtlinie (nicht GPO) das Recht geben den Dienst von OpenVPN zu starten/stoppen.
Beides hat den Nachteil, das die Zertifikate kein Passwort haben dürfen.
Aber wenn man mit Plattenverschlüsselung arbeitet und die Zugriffsrechte zum einsehen der Dateien auf das Systemkonto begrenzt ist das nicht so kritisch.
Gruß
Chonta
OpenVPN als Windowsdienst, mit Autostart, oder OpenVPN als Dienst und dem Benutzer/Gruppe auf dem Rechner per Lokaler Sicherheitsrichtlinie (nicht GPO) das Recht geben den Dienst von OpenVPN zu starten/stoppen.
Beides hat den Nachteil, das die Zertifikate kein Passwort haben dürfen.
Aber wenn man mit Plattenverschlüsselung arbeitet und die Zugriffsrechte zum einsehen der Dateien auf das Systemkonto begrenzt ist das nicht so kritisch.
Gruß
Chonta
Das ist leider nichts neues. Das selbe habe ich ja selber bei den Clients gemacht. Also den Dienst in Autostart eingefügt und Passwörter werden sowieso keine benötigt, da jedes Clientzertifikat ein unikat ist.
Entweder braucht der Benutzer Adminrechte oder über die Sicherheitsrichtlinie darf er den OpenVPN Dienst starten und stoppen.
Anders ist es nicht möglich.
Das verwenden der Sicherheitsrichtlinien wäre dann eine Art sudo nur für den Dienst.
das ausführen als geht halt immer für alles was man dann machen will.
Ansonsten l2tp VPN, das ist bei Vindwos Vlients nativ dabei, musst es halt nur auf dem Server zum laufen bekommen.
IPsec kann aber in mehr gefummel ausarten und trozdem nicht funktionieren, wenn da ein Router nicht richtig weiterleitet..., als es OpenVPN macht.
Gruß
Chonta
Anders ist es nicht möglich.
Das verwenden der Sicherheitsrichtlinien wäre dann eine Art sudo nur für den Dienst.
das ausführen als geht halt immer für alles was man dann machen will.
Ansonsten l2tp VPN, das ist bei Vindwos Vlients nativ dabei, musst es halt nur auf dem Server zum laufen bekommen.
IPsec kann aber in mehr gefummel ausarten und trozdem nicht funktionieren, wenn da ein Router nicht richtig weiterleitet..., als es OpenVPN macht.
Gruß
Chonta
Schau Dir www.softether.org an. Geiler geht es nicht!
Ich hab ihn bei uns implementiert auf CentOS 6.6 und liebe ihn.
Ich würde das Ding glatt heiraten.
Ich fahre damit SSTP, OpenVPN und SSL-Tunnel mittels Android, Windows, Mac und Linux.
Wenn Du ihn auf CentOS implementieren willst, kannst Du gerne auf mich zukommen.
Ich unterstütze Dich dann dabei.
Ich hab ihn bei uns implementiert auf CentOS 6.6 und liebe ihn.
Ich würde das Ding glatt heiraten.
Ich fahre damit SSTP, OpenVPN und SSL-Tunnel mittels Android, Windows, Mac und Linux.
Wenn Du ihn auf CentOS implementieren willst, kannst Du gerne auf mich zukommen.
Ich unterstütze Dich dann dabei.
Hier steht wie es geht:
http://www.heise.de/ct/hotline/OpenVPN-ohne-Admin-Rechte-320656.html
und auch im Detail:
http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.htm ...
http://www.heise.de/ct/hotline/OpenVPN-ohne-Admin-Rechte-320656.html
und auch im Detail:
http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.htm ...
Hallo zusammen,
Das Programm ist schon schick wir wollen das demnächst auch implementieren
und auf CentOS oder Windows Server 2012 R2 aufsetzen und als VPN Server nutzen
Gruß
Dobby
Schau Dir www.softether.org an. Geiler geht es nicht!
Ich hab ihn bei uns implementiert auf CentOS 6.6 und liebe ihn.
Benutzt Du auch den SoftEtherVPN Klienten also deren VPN Klientsoftware dazu?Ich hab ihn bei uns implementiert auf CentOS 6.6 und liebe ihn.
Das Programm ist schon schick wir wollen das demnächst auch implementieren
und auf CentOS oder Windows Server 2012 R2 aufsetzen und als VPN Server nutzen
Gruß
Dobby
Hi Dobby,
auf Windows setze ich den SoftEther Client und den in Windows integrierten SSTP-Klienten ein.
SSTP ist eher nur für den Notfall gedacht, wenn ein Benutzer sein Passwort verschludert und der Computer die Domäne braucht zwecks Authentifizierung.
Ansonsten ist unter Windows SoftEther Client der Standard bei mir.
Unter Android nutze ich den OpenVPN-Clienten von Arne Schwabe. Die vom SoftEther-Server generierte OVPN-Configdatei passt wie die Faust aufs Auge.
Unter MAC OS benutze ich Tunnelblick (OpenVPN-Client).
Ich empfehle CentOS für die Realisierung des Servers.
Wenn Du ein Upgrade machen musst/willst, lachst Du Dich kaputt, wenn Du es unter CentOS machst und bei Windows weiß ich es nicht.
Unter Linux heißt es nur
Dienst stoppen, Verzeichnis umbenennen, Neues Paket entpacken und compilieren, Config-File aus umbenannten Verzeichnis ins vpnserver-Verzeichnis kopieren,
Dienst starten und läuft. Und es ist 100%ig reversibel, falls mal ne Version rumzickt. Kam leider mal vor.
Aber das Teil ist jetzt RTM und aus der Beta raus.
Ein Intel Core2Duo macht bei uns den VPN_Server. Höchstwerte waren bei mir bisher 15 Sitzungen und der Prozessor pennte immer noch, weils nichts zu tun gab.
Also normaler PC kann reichen.
gruß
Andreas
Edit:
Noch ein Nachsatz zum SoftEther Client:
Der beherrscht NICHT per Option Split_Tunneling. Das muss man über die Schnittstellenmetrik zurzeit lösen, sonst rauscht der gesamte Datenverkehr durch den Tunnel.
auf Windows setze ich den SoftEther Client und den in Windows integrierten SSTP-Klienten ein.
SSTP ist eher nur für den Notfall gedacht, wenn ein Benutzer sein Passwort verschludert und der Computer die Domäne braucht zwecks Authentifizierung.
Ansonsten ist unter Windows SoftEther Client der Standard bei mir.
Unter Android nutze ich den OpenVPN-Clienten von Arne Schwabe. Die vom SoftEther-Server generierte OVPN-Configdatei passt wie die Faust aufs Auge.
Unter MAC OS benutze ich Tunnelblick (OpenVPN-Client).
Ich empfehle CentOS für die Realisierung des Servers.
Wenn Du ein Upgrade machen musst/willst, lachst Du Dich kaputt, wenn Du es unter CentOS machst und bei Windows weiß ich es nicht.
Unter Linux heißt es nur
Dienst stoppen, Verzeichnis umbenennen, Neues Paket entpacken und compilieren, Config-File aus umbenannten Verzeichnis ins vpnserver-Verzeichnis kopieren,
Dienst starten und läuft. Und es ist 100%ig reversibel, falls mal ne Version rumzickt. Kam leider mal vor.
Aber das Teil ist jetzt RTM und aus der Beta raus.
Ein Intel Core2Duo macht bei uns den VPN_Server. Höchstwerte waren bei mir bisher 15 Sitzungen und der Prozessor pennte immer noch, weils nichts zu tun gab.
Also normaler PC kann reichen.
gruß
Andreas
Edit:
Noch ein Nachsatz zum SoftEther Client:
Der beherrscht NICHT per Option Split_Tunneling. Das muss man über die Schnittstellenmetrik zurzeit lösen, sonst rauscht der gesamte Datenverkehr durch den Tunnel.
1
@beidermachtvongreyscull
Alles klar wir wollten eigentlich kleine Xeon E3 Server dazu benutzen denn wir benötigen
schon richtig Durchsatz und wollen damit dann auch Niederlassungen vernetzen.
Also Side-to-Side und ab und an einen Klienten von außerhalb dazu abfackeln.
Danke für die Erleuchtung und Hinweise!
Gruß
Dobby
Alles klar wir wollten eigentlich kleine Xeon E3 Server dazu benutzen denn wir benötigen
schon richtig Durchsatz und wollen damit dann auch Niederlassungen vernetzen.
Also Side-to-Side und ab und an einen Klienten von außerhalb dazu abfackeln.
Danke für die Erleuchtung und Hinweise!
Gruß
Dobby
Rennt auch auf dem RasPi
https://jlnostr.de/raspberry-pi-sstp-vpn-server-installieren/
https://jlnostr.de/raspberry-pi-sstp-vpn-server-installieren/
Find ich sehr geil! Hatte vor dem post auch mal viel nach openvpn alternativen gesucht und nur müll gefunden, aber das hört sich sehr vielversprechend an.
Wie man dem client für ovpn allein für diesen einen zweck die administrativen rechte überträgt weiss ich. Es dauert nur elendig lange. Wir haben halt auch so typischd OSI-Layer 8 spezialisten in der Firma, weswegen man denen nicht einfach die rechte geben kann. Klar ich weiss kann man alles einstellen, ist trotzdem nervig.
Aber echt hammer das sich doch so viele noch gemeldet haben, danke dafür!
Wie man dem client für ovpn allein für diesen einen zweck die administrativen rechte überträgt weiss ich. Es dauert nur elendig lange. Wir haben halt auch so typischd OSI-Layer 8 spezialisten in der Firma, weswegen man denen nicht einfach die rechte geben kann. Klar ich weiss kann man alles einstellen, ist trotzdem nervig.
Aber echt hammer das sich doch so viele noch gemeldet haben, danke dafür!
wenn ich auf deinen link klick, kommt "this blog is private" hast du nen passwort für mich?
Stimmt, hat der Heini wohl jetzt dichtgemacht. Gestern wars noch offen. War ne gute gemachte Anleitung aber nundenn.
Es gibt eine Alternative:
http://www.forum-raspberrypi.de/Thread-tutorial-softether-vpn-server-ht ...
Es gibt eine Alternative:
http://www.forum-raspberrypi.de/Thread-tutorial-softether-vpn-server-ht ...
