Després de gairebé quatre anys des de la publicació de la branca 2.4 i de la qual es van estar llançant versions menors (correccions d'errors i algunes característiques addicionals) es va preparar el llançament d'OpenVPN 2.5.0.
Aquesta nova versió arriba amb una gran quantitat de canvis importants, dels quals els més interessants que podrem trobar són relacionats amb els canvis en el xifrat, així com la transició cap a IPv6 i l'adopció de nous protocols.
sobre OpenVPN
Per als qui desconeixen d'OpenVPN, han de saber que aquesta és una eina de connectivitat basada en programari lliure, SSL (Secure Sockets Layer), VPN Virtual Private Network (xarxa virtual privada).
OpenVPN ofereix connectivitat punt-a-punt amb validació jeràrquica d'usuaris i host connectats remotament. Resulta una molt bona opció en tecnologies Wi-Fi (xarxes sense fils IEEE 802.11) i permet utilitzar una gran configuració, entre elles balanceig de càrregues.
OpenVPN és una eina multiplataforma que ha simplificat la configuració de VPN 's davant d'altres més antigues i difícils de configurar com IPsec i fent-la més accessible per a gent inexperta en aquest tipus de tecnologia.
Principals novetats d'OpenVPN 2.5.0
Dels canvis més importants podrem trobar que aquesta nova versio de OpenVPN 2.5.0 es admet el xifrat d'enllaç de dades mitjançant el xifrat de flux ChaCha20 i l'algoritme d'autenticació de missatges (MAC) Poly1305 que es posicionen com a contraparts més ràpides i segures d'AES-256-CTR i HMAC, la implementació de programari permet aconseguir temps d'execució fixos sense l'ús de suport de maquinari especial.
La capacitat de proporcionar a cada client una clau tls-crypt única, que permet a les grans organitzacions i proveïdors de VPN utilitzar la mateixa protecció de pila TLS i tècniques de prevenció DUES que estaven disponibles anteriorment en configuracions petites utilitzant tls-auth o tls-crypt.
Un altre canvi important, és el mecanisme millorat per negociar el xifrat utilitzat per protegir el canal de transmissió de dades. Es renombró ncaa-Ciphers a data-Ciphers per evitar ambigüitats amb l'opció tls-cipher i per emfatitzar que es prefereix data-Ciphers per configurar xifrats de canal de dades (el nom antic s'ha conservat per compatibilitat).
Els clients ara envien una llista de tots els xifrats de dades que admeten a l'servidor mitjançant la variable IV_CIPHERS, que permet el servidor seleccionar el primer xifrat compatible amb tots dos costats.
El suport de xifrat BF-CBC s'ha eliminat de la configuració per defecte. OpenVPN 2.5 ara només accepta AES-256-GCM i AES-128-GCM per defecte. Aquest comportament es pot canviar utilitzant l'opció de xifrat de dades. A l'actualitzar a una versió més recent d'OpenVPN, la configuració de xifrat BF-CBC en els arxius de configuració antics es convertirà per afegir BF-CBC a el conjunt de xifrat de dades i la manera de suport de xifrat de dades habilitat.
Es va agregar suport per a l'autenticació asíncrona (Diferida) a l'complement auth-pam. De manera similar, l'opció «-client-connect» i l'API per connectar complements agregar la capacitat d'ajornar la devolució de l'arxiu de configuració.
A Linux, es va agregar suport per a interfícies de xarxa d'enrutament i reenviament virtual (VRF). l'opció «-Bind-dev» es proporciona per a col·locar un connector extern en VRF.
Suport per configurar adreces IP i rutes fent servir la interfície Netlink proporcionada pel nucli de Linux. Netlink s'utilitza quan es construeix sense l'opció «-enable-iproute2» i permet executar OpenVPN sense els privilegis addicionals necessaris per executar la utilitat «ip».
El protocol va agregar la capacitat d'usar autenticació de dos factors o autenticació addicional a través del web (SAML), sense interrompre la sessió després de la primera verificació (després de la primera verificació, la sessió roman en l'estat «no autenticat» i espera que es completi la segona etapa d'autenticació).
Dels altres canvis que es destaquen:
- Ara pot treballar només amb adreces IPv6 dins de túnel VPN (anteriorment era impossible fer-ho sense especificar adreces IPv4).
- Capacitat per vincular configuracions de xifrat de dades i xifrat de dades de reserva a clients des de l'script de connexió de client.
- Possibilitat d'especificar la mida de MTU per a la interfície tun / tap en Windows.
Suport per triar el motor OpenSSL per accedir a la clau privada (per exemple, TPM).
L'opció «-auth-gen-testimoni» ara admet la generació de tokens basada en HMAC. - Possibilitat d'usar màscares de xarxa / 31 en la configuració d'IPv4 (OpenVPN ja no intenta configurar una adreça de transmissió).
- Es va agregar l'opció «-block-ipv6» per bloquejar qualsevol paquet IPv6.
- Les opcions «-ifconfig-ipv6» i «-ifconfig-ipv6-push» permeten especificar el nom de sistema principal en lloc de l'adreça IP (la direcció es determinarà mitjançant DNS).
- Suport TLS 1.3. TLS 1.3 requereix al menys OpenSSL 1.1.1. Es van agregar les opcions «-tls-ciphersuites» i «-tls-groups» per ajustar els paràmetres de TLS.