Po téměř čtyřech letech od vydání pobočky 2.4 a z nichž byly vydávány menší verze (opravy chyb a některé další funkce) Bylo připraveno vydání OpenVPN 2.5.0.
Tato nová verze přichází se spoustou zásadních změn, z nichž nejzajímavější, co můžeme najít, se týkají změn v šifrování, stejně jako přechodu na IPv6 a přijetí nových protokolů.
O OpenVPN
Pro ty, kteří OpenVPN neznají, měli byste to vědět toto je bezplatný softwarový nástroj pro připojení, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN nabízí konektivitu point-to-point s hierarchickou validací připojených uživatelů a hostitelů na dálku. Je to velmi dobrá volba v technologiích Wi-Fi (bezdrátové sítě IEEE 802.11) a podporuje širokou konfiguraci, včetně vyvažování zátěže.
OpenVPN je multiplatformní nástroj, který ve srovnání se staršími a složitějšími konfiguracemi, jako je IPsec, zjednodušil konfiguraci VPN a zpřístupnil jej nezkušeným lidem v tomto typu technologie.
Hlavní nové funkce OpenVPN 2.5.0
Z nejdůležitějších změn zjistíme, že tato nová verze OpenVPN 2.5.0 je podporuje šifrování datový odkaz pomocí šifrování streamu ChaCha20 a algoritmus ověřování zpráv (MAC) Poly1305 které jsou umístěny jako rychlejší a bezpečnější protějšky AES-256-CTR a HMAC, jejichž softwarová implementace umožňuje dosáhnout pevných časů spuštění bez použití speciální hardwarové podpory.
La schopnost poskytnout každému klientovi jedinečný klíč tls-crypt, což umožňuje velkým organizacím a poskytovatelům VPN používat stejné techniky ochrany zásobníku TLS a prevence DoS, které byly dříve k dispozici v malých konfiguracích pomocí tls-auth nebo tls-crypt.
Další důležitou změnou je vylepšený mechanismus vyjednávání šifrování slouží k ochraně kanálu přenosu dat. Přejmenovány ncp-šifry na datové šifry, aby se předešlo nejednoznačnosti s volbou tls-cipher a aby se zdůraznilo, že pro konfiguraci šifer datového kanálu jsou preferovány datové šifry (pro kompatibilitu byl zachován starý název).
Klienti nyní odesílají na server seznam všech datových šifer, které podporují, pomocí proměnné IV_CIPHERS, která umožňuje serveru vybrat první šifru, která je kompatibilní s oběma stranami.
Podpora šifrování BF-CBC byla z výchozího nastavení odstraněna. OpenVPN 2.5 nyní ve výchozím nastavení podporuje pouze AES-256-GCM a AES-128-GCM. Toto chování lze změnit pomocí možnosti šifrování dat. Při upgradu na novější verzi OpenVPN bude konfigurace Šifrování BF-CBC ve starých konfiguračních souborech budou převedeny na přidání BF-CBC do sady datových šifer a povolen režim zálohování šifrování dat.
Přidaná podpora pro asynchronní ověřování (odloženo) na plugin auth-pam. Podobně možnost „–client-connect“ a API pro připojení pluginu přidaly možnost odložit vrácení konfiguračního souboru.
V systému Linux byla přidána podpora síťových rozhraní virtuální směrování a předávání (VRF). Možnost „–Bind-dev“ slouží k umístění cizího konektoru do VRF.
Podpora konfigurace IP adres a tras pomocí rozhraní Netlink poskytovaného jádrem Linuxu. Netlink se používá, je-li vytvořen bez možnosti „–enable-iproute2“ a umožňuje spuštění OpenVPN bez dalších oprávnění potřebných ke spuštění obslužného programu „ip“.
Protokol přidal možnost používat dvoufaktorové ověřování nebo dodatečné ověřování přes web (SAML), aniž by byla relace přerušena po prvním ověření (po prvním ověření relace zůstane ve stavu „neověřeno“ a čeká na druhé ověření fázi dokončit).
Ostatních změny, které vyniknou:
- Nyní můžete v tunelu VPN pracovat pouze s adresami IPv6 (dříve to nebylo možné bez zadání adres IPv4).
- Schopnost svázat šifrování dat a nastavení zálohování šifrování dat s klienty ze skriptu připojení klienta.
- Schopnost určit velikost MTU pro rozhraní tun / tap ve Windows.
Podpora výběru modulu OpenSSL pro přístup k soukromému klíči (např. TPM).
Možnost „–auth-gen-token“ nyní podporuje generování tokenů založených na HMAC. - Možnost použití / 31 masek sítě v nastavení IPv4 (OpenVPN se již nepokouší nastavit adresu vysílání).
- Přidána možnost „–block-ipv6“ k blokování jakéhokoli paketu IPv6.
- Volby „–ifconfig-ipv6“ a „–ifconfig-ipv6-push“ umožňují místo názvu IP zadat název hostitele (adresu určí DNS).
- Podpora TLS 1.3. TLS 1.3 vyžaduje alespoň OpenSSL 1.1.1. Přidány možnosti „–tls-ciphersuites“ a „–tls-groups“ pro úpravu parametrů TLS.