HowTo: OpenVPN unter Windows XP ohne Adminrechte

Wer wie ich ein VPN auf Basis von OpenVPN realisiert und aber unter Windows XP als Client wiederum ohne Adminrechte arbeiten möchte, bieten sich folgende Lösungen an:

OpenVPN als Dienst starten

OpenVPN installiert einen Dienst namens "OpenVPN Service". Dieser ist per default deaktiviert, kann aber dazu genutzt werden, komplett ohne Nutzerinteraktion beim Systemstart den Rechner in ein VPN einzubinden.

- Vorteile: Die Geschichte läuft völlig transparent und ohne Interaktion für den User. Man bemerkt den Verbindungsaufbau nicht grossartig und alles läuft "wie gewohnt".

- Nachteile: Es können nur unverschlüsselte (d.h. ohne Passwort versehene) Zertifikate dafür verwendet werden; der Dienst stellt nicht die Möglichkeit zur Verfügung, ein Passwort einzugeben. Es werden keine grossen Informationen preisgegeben, ob die Verbindung funktioniert. Weiterhin kann der Dienst standardmässig auch nur als Admin neu gestartet oder beendet werden, dies lässt sich allerdings mit dem Tool SubInACL ändern. Beispiele zur Nutzung mit SubInACL oder mit GroupPolicies gibt es hier.

OpenVPN als normaler Benutzer als Mitglied der Gruppe Netzwerkkonfigurations-Operatoren

Benutzer können normalerweise ohne Adminrechte keinen OpenVPN-Tunnel aufbauen, da sie dafür das Recht benötigen, eine Netzwerkkarte zu konfigurieren (Routen setzen, DHCP release/renew etc). Wenn man einen Benutzer als Mitglied der Gruppe "Netzwerkkonfigurations-Operatoren" (furchtbares Wort...) hinzufügt, kann der Benutzer ganz normal mit OpenVPN oder OpenVPN GUI die Verbindung aufbauen.

- Vorteile: Der Benutzer kann ohne grossen Aufwand selbst steuern, ob die Verbindung aufgebaut werden soll. Es gibt ein wenig mehr Output, was die Fehlersuche als "Telefonadmin" etwas erleichtert. Weiterhin können damit auch verschlüsselte Zertifikate genutzt werden.

- Nachteile: Der Benutzer sieht viel (Microsoft Credo: Wenn man zu viel sieht, verwirrt es den Benutzer nur ;) ), Vorgang lässt sich nur etwas umständlich automatisieren (nur über die Registry), eventuelles Sicherheitsrisiko durch Zuweisen der Berechtigung.

Noch etwas mehr zu dem Thema findet sich hier. Dieser Artikel war für mich ein guter Leitfaden zum Einstieg :) Heise hat ebenfalls einen schönen Artikel zum Thema OpenVPN parat.