lundi 5 janvier 2009

Utiliser OpenVPN 2.1 sous Vista64

Dans la folie des dépenses d'investissement de fin d'année, mes collègues ont sélectionné pour moi un nouveau laptop de daron^H^H^H^H^H senior expert : le Dell E4300.


Passons sur les 2 mois de délai (au lieu des 10 jours annoncés), puisque la bête est arrivée pour Noël, je m'apprête à ressentir le frisson d'un top manager devant son nouveau jouet: 4 Go de RAM, 250 Go de disque, processeur Core 2 Duo, 3G+ et GPS intégrés, et ... Vista 64.

La première prise de contact avec la bête est plutôt ... rugueuse.


Un problème dans le driver de la carte BroadCom intégrée ... il est temps de chercher les mises à jour sur le site de Dell. Et là, c'est le drame:
  • Plusieurs centaines de Mo de mises à jour à télécharger.
  • La palme revient à la "mise à jour du hub de sécurité Broadcom", qui nécessite de booter sous FreeDOS avec le TPM désactivé (note: la machine est livrée sans lecteur de CD-ROM par défaut).
  • Certaines mises à jour "urgentes" étaient carrément identifiées comme "à venir" !
Les plus taquins d'entre vous pensent déjà "tu n'as qu'à passer sous Linux". Que nenni ! Car outre les défauts du logiciel, le matériel pêche également:
  • Pas de port PCMCIA mais seulement un port ExpressCard. Passe encore, c'est l'avenir.
  • J'aurais aimé un écran tactile (TabletPC) qui aurait beaucoup amusé ma fille - mais il parait que c'est beaucoup plus cher.
  • Il faut choisir en usine entre WebCam et 3G+ (WTF ? La cause en serait le positionnement de l'antenne 3G+ autour de l'écran).
  • La machine ne dispose que d'un seul port USB. Pas évident quand on est allergique au Touchpad de brancher une clé USB et une souris externe simultanément. Sauf si vous avez une clé eSata, bien sûr ...
  • Une autonomie de 3h30 max, quel que soit le système d'exploitation. Mon vieux Dell X300 atteint les 6h30 avec une batterie noname, pour un poids quasiment identique !
  • Et surtout, un écran brillant (limite glossy) avec des fuites lumineuses en pagaille (en clair, le noir est loin d'être noir). Et ça, c'est rédhibitoire.
Maintenant, si vous voulez continuer l'aventure sous Vista 64, voici comment faire fonctionner OpenVPN 2.1_rc15 sans avoir à élever le processus à chaque connexion.

En effet, être membre du groupe "Network Operators" ne suffit pas à OpenVPN pour pouvoir mettre à jour les tables de routage. La connexion se passe bien (le driver OpenVPN est signé, ce qui lui permet de fonctionner sous Vista 64), mais il est impossible de joindre les ressources du site distant. La correction la plus simple consiste à lancer le processus en tant qu'administrateur.

Pour éviter d'effectuer cette opération "à la main", la solution officielle consiste à créer un fichier ".manifest" attaché à l'application.

"Dans le temps", il me semblait que créer un fichier "openvpn.exe.manifest" dans le même répertoire qu'OpenVPN était suffisant. Mais dans mon cas cela ne fonctionne pas. Est-ce parce qu'OpenVPN est un processus 32-bits ? Mystère ...

La solution consiste donc à embarquer le fichier ".manifest" dans l'application, à l'aide de l'outil MT.EXE (disponible avec Visual Studio, dont les versions Express - gratuites et illimitées - sont téléchargeables ici). Oui, il existe probablement des solutions plus simples à base d'éditeurs de ressources tiers :)

Le contenu du fichier ".manifest" doit être le suivant:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
<security>
<requestedPrivileges>
<requestedExecutionLevel level="requireAdministrator"/>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>


La commande à utiliser est:

C:\Program Files (x86)\OpenVPN\bin> mt -manifest openvpn-gui-1.0.3.exe.manifest -outputresource:openvpn-gui-1.0.3.exe;#1

Et voilà !

Attention également au sous-répertoire "log", qui trouverait mieux sa place dans %AppData% (car propre à chaque utilisateur). Ce répertoire doit être en écriture pour l'utilisateur.

9 commentaires:

Geoffrey a dit…

Et oui Nic, un tablet pc digne de ce nom vaut dans les 2000 euros (si on exclut celui de HP à base de Turion si je ne m'abuse qui vaut environ 1000 euros)

Après faut il la puissance de feu d'un destroyer pour tuer une souris ;)?

newsoft a dit…

@Geoffrey: j'ignorais que tu lisais mon blog ... et que tu en avais un :)

Anonyme a dit…

Dommage que tu n'aies pas de port PCMCIA. Pour 25 euros, tu aurais eu la possibilité les réseaux en DECT (cf talk sur la sécurité DECT au 25c3, beaucoup moins bling bling que SSL et pourtant...).

newsoft a dit…

@Francois: j'attends ta démo :)

Anonyme a dit…

#aptitude install openvpn
;-)

Geoffrey a dit…

@Newsoft
Je lis ton blog depuis un certain temps mais je suis largement dépassé niveau compétances techniques ;)
Quand à mon "blog", c'est celui de ma femme, je n'y poste que très rarement.

newsoft a dit…

Tiens je crois que j'ai *exactement* ce problème ...

http://blogs.technet.com/markrussinovich/archive/2008/12/30/3174871.aspx

Anonyme a dit…

@newsoft

Oups, désolé, promis je ferais attention la prochaine fois de ne pas planter ta machine :-))

Anonyme a dit…

tu fais installer ton nouveau laptop par ton stagiaire ? :)