بعد ما يقرب من أربع سنوات منذ نشر الفرع 2.4 والتي تم إصدار إصدارات ثانوية منها (إصلاحات الأخطاء وبعض الميزات الإضافية) تم تحضير إصدار OpenVPN 2.5.0.
هذا الإصدار الجديد يأتي مع الكثير من التغييرات الرئيسية ، أكثرها إثارة للاهتمام التي يمكن أن نجدها تتعلق بالتغييرات في التشفير ، وكذلك الانتقال إلى IPv6 واعتماد بروتوكولات جديدة.
حول OpenVPN
بالنسبة لأولئك الذين ليسوا على دراية بـ OpenVPN ، يجب أن تعرف ذلك هذه أداة اتصال مجانية تعتمد على البرامج ، SSL (طبقة المقابس الآمنة) ، شبكة VPN الافتراضية الخاصة.
المسنجر يوفر اتصالاً من نقطة إلى نقطة مع التحقق الهرمي من المستخدمين والمضيفين المتصلين عن بعد. إنه خيار جيد جدًا في تقنيات Wi-Fi (شبكات IEEE 802.11 اللاسلكية) ويدعم تكوينًا واسعًا ، بما في ذلك موازنة التحميل.
OpenVPN هي أداة متعددة الأنظمة الأساسية قامت بتبسيط تكوين الشبكات الافتراضية الخاصة مقارنةً بالشبكات الأقدم والأكثر صعوبة في التهيئة مثل IPsec وجعلها أكثر سهولة للأشخاص عديمي الخبرة في هذا النوع من التكنولوجيا.
الميزات الرئيسية الجديدة لـ OpenVPN 2.5.0
من أهم التغييرات يمكننا أن نجد أن هذا الإصدار الجديد من OpenVPN 2.5.0 هو يدعم التشفير datalink باستخدام تشفير التدفق ChaCha20 والخوارزمية مصادقة الرسائل (MAC) Poly1305 التي يتم وضعها كنظراء أسرع وأكثر أمانًا لـ AES-256-CTR و HMAC ، حيث يسمح تطبيق برمجياتها بتحقيق أوقات تنفيذ ثابتة دون استخدام دعم خاص للأجهزة.
La القدرة على تزويد كل عميل بمفتاح tls-crypt فريد ، الذي يسمح للمؤسسات الكبيرة وموفري VPN باستخدام نفس حماية مكدس TLS وتقنيات منع DoS التي كانت متوفرة سابقًا في تكوينات صغيرة باستخدام tls-auth أو tls-crypt.
تغيير مهم آخر هو آلية محسنة للتفاوض بشأن التشفير تستخدم لحماية قناة نقل البيانات. أعيدت تسمية ncp-ciphers إلى أصفار البيانات لتجنب الغموض مع خيار تشفير tls وللتأكيد على أن أصفار البيانات مفضلة لتكوين أصفار قناة البيانات (تم الاحتفاظ بالاسم القديم للتوافق).
يرسل العملاء الآن قائمة بجميع أصفار البيانات التي يدعمونها إلى الخادم باستخدام متغير IV_CIPHERS ، والذي يسمح للخادم بتحديد التشفير الأول الذي يدعمه كلا الجانبين.
تمت إزالة دعم تشفير BF-CBC من الإعدادات الافتراضية. يدعم OpenVPN 2.5 الآن فقط AES-256-GCM و AES-128-GCM افتراضيًا. يمكن تغيير هذا السلوك باستخدام خيار تشفير البيانات. عند الترقية إلى إصدار أحدث من OpenVPN ، يكون تكوين تشفير BF-CBC في ملفات التكوين القديمة سيتم تحويلها لإضافة BF-CBC إلى مجموعة تشفير البيانات وتم تمكين وضع النسخ الاحتياطي لتشفير البيانات.
دعم إضافي للمصادقة غير المتزامنة (مؤجل) إلى المكوِّن الإضافي auth-pam. وبالمثل ، أضاف خيار "–client-connect" و plugin connect API القدرة على تأجيل إرجاع ملف التكوين.
في Linux ، تمت إضافة دعم لواجهات الشبكة التوجيه الافتراضي وإعادة التوجيه (VRF). الخيار يتم توفير "–Bind-dev" لوضع موصل خارجي في VRF.
دعم تكوين عناوين IP والمسارات باستخدام واجهة Netlink المقدمة من Linux kernel. يتم استخدام Netlink عند إنشائه بدون خيار "–enable-iproute2" ويسمح لـ OpenVPN بالعمل بدون الامتيازات الإضافية المطلوبة لتشغيل الأداة المساعدة "ip".
أضاف البروتوكول القدرة على استخدام مصادقة ثنائية أو مصادقة إضافية عبر الويب (SAML) ، دون مقاطعة الجلسة بعد التحقق الأول (بعد التحقق الأول ، تظل الجلسة في حالة "غير مصادقة" وانتظر المصادقة الثانية المرحلة لإكمال).
من الآخرين التغييرات التي تبرز:
- يمكنك الآن العمل فقط مع عناوين IPv6 داخل نفق VPN (في السابق كان من المستحيل القيام بذلك دون تحديد عناوين IPv4).
- القدرة على ربط تشفير البيانات وإعدادات تشفير البيانات الاحتياطية للعملاء من البرنامج النصي للاتصال بالعميل.
- القدرة على تحديد حجم MTU لواجهة tun / tap في Windows.
دعم اختيار محرك OpenSSL للوصول إلى المفتاح الخاص (مثل TPM).
يدعم خيار "–auth-gen-token" الآن إنشاء الرمز المستند إلى HMAC. - القدرة على استخدام / 31 قناع شبكة في إعدادات IPv4 (لم يعد OpenVPN يحاول تعيين عنوان بث).
- تمت إضافة خيار "–block-ipv6" لحظر أي حزمة IPv6.
- يسمح لك الخياران "–ifconfig-ipv6" و "–ifconfig-ipv6-push" بتحديد اسم المضيف بدلاً من عنوان IP (سيتم تحديد العنوان بواسطة DNS).
- دعم TLS 1.3. يتطلب TLS 1.3 OpenSSL 1.1.1 على الأقل. تمت إضافة خيارات "–tls-ciphersuites" و "–tls-groups" لضبط معلمات TLS.