Nach fast vier Jahren seit der Veröffentlichung von Zweig 2.4 und von denen kleinere Versionen veröffentlicht wurden (Fehlerkorrekturen und einige zusätzliche Funktionen) OpenVPN 2.5.0 Release wurde vorbereitet.
Diese neue Version kommt mit vielen großen Änderungen, Die interessantesten, die wir finden können, beziehen sich auf Änderungen in der Verschlüsselung sowie auf den Übergang zu IPv6 und die Einführung neuer Protokolle.
Über OpenVPN
Für diejenigen, die mit OpenVPN nicht vertraut sind, sollten Sie das wissen Dies ist ein kostenloses softwarebasiertes Konnektivitätstool. SSL (Secure Sockets Layer), virtuelles privates VPN-Netzwerk.
OpenVPN Bietet Punkt-zu-Punkt-Konnektivität mit hierarchischer Validierung verbundener Benutzer und Hosts aus der Ferne. Es ist eine sehr gute Option in Wi-Fi-Technologien (drahtlose IEEE 802.11-Netzwerke) und unterstützt eine breite Konfiguration, einschließlich Lastausgleich.
OpenVPN ist ein Multiplattform-Tool, das die Konfiguration von VPNs im Vergleich zu älteren und schwieriger zu konfigurierenden wie IPSec vereinfacht und für unerfahrene Personen dieser Art von Technologie zugänglicher gemacht hat.
Die wichtigsten neuen Funktionen von OpenVPN 2.5.0
Von den wichtigsten Änderungen können wir feststellen, dass diese neue Version von OpenVPN 2.5.0 ist unterstützt Verschlüsselung Datenverbindung mit Stream-Verschlüsselung ChaCha20 und der Algorithmus Nachrichtenauthentifizierung (MAC) Poly1305 Diese sind als schnellere und sicherere Gegenstücke zu AES-256-CTR und HMAC positioniert, deren Softwareimplementierung es ermöglicht, feste Ausführungszeiten ohne die Verwendung spezieller Hardwareunterstützung zu erreichen.
La Fähigkeit, jedem Client einen eindeutigen tls-crypt-Schlüssel zur Verfügung zu stellen, Dadurch können große Organisationen und VPN-Anbieter dieselben TLS-Stapelschutz- und DoS-Verhinderungstechniken verwenden, die zuvor in kleinen Konfigurationen mit tls-auth oder tls-crypt verfügbar waren.
Eine weitere wichtige Änderung ist die verbesserter Mechanismus zur Aushandlung der Verschlüsselung wird zum Schutz des Datenübertragungskanals verwendet. Umbenennung von ncp-ciphers in data-ciphers, um Mehrdeutigkeiten mit der Option tls-cipher zu vermeiden und um hervorzuheben, dass Daten-chiffren für die Konfiguration von Datenkanal-Chiffren bevorzugt werden (der alte Name wurde aus Kompatibilitätsgründen beibehalten).
Clients senden jetzt eine Liste aller von ihnen unterstützten Datenchiffren mit der Variablen IV_CIPHERS an den Server. Auf diese Weise kann der Server die erste von beiden Seiten unterstützte Verschlüsselung auswählen.
Die Unterstützung für die BF-CBC-Verschlüsselung wurde aus den Standardeinstellungen entfernt. OpenVPN 2.5 unterstützt jetzt standardmäßig nur AES-256-GCM und AES-128-GCM. Dieses Verhalten kann mithilfe der Datenverschlüsselungsoption geändert werden. Beim Upgrade auf eine neuere Version von OpenVPN wird die Konfiguration von BF-CBC-Verschlüsselung in alten Konfigurationsdateien wird konvertiert, um BF-CBC zur Datenverschlüsselungssuite hinzuzufügen und Datenverschlüsselungs-Backup-Modus aktiviert.
Unterstützung für asynchrone Authentifizierung hinzugefügt (aufgeschoben) zum auth-pam plugin. In ähnlicher Weise haben die Option "–client-connect" und die Plugin-Verbindungs-API die Möglichkeit hinzugefügt, die Rückgabe der Konfigurationsdatei zu verschieben.
Unter Linux wurde die Unterstützung für Netzwerkschnittstellen hinzugefügt virtuelles Routing und Weiterleiten (VRF). Die Option "–Bind-dev" wird bereitgestellt, um einen Fremdstecker in VRF zu platzieren.
Unterstützung für die Konfiguration von IP-Adressen und Routen mithilfe der vom Linux-Kernel bereitgestellten Netlink-Schnittstelle. Netlink wird verwendet, wenn es ohne die Option "–enable-iproute2" erstellt wurde, und ermöglicht die Ausführung von OpenVPN ohne die zusätzlichen Berechtigungen, die zum Ausführen des Dienstprogramms "ip" erforderlich sind.
Das Protokoll fügte die Möglichkeit hinzu, die Zwei-Faktor-Authentifizierung oder zusätzliche Authentifizierung über das Web (SAML) zu verwenden, ohne die Sitzung nach der ersten Überprüfung zu unterbrechen (nach der ersten Überprüfung bleibt die Sitzung im Status "nicht authentifiziert" und wartet auf die zweite Authentifizierung Bühne zu vervollständigen).
Von Anderen Veränderungen, die auffallen:
- Sie können jetzt nur mit IPv6-Adressen innerhalb des VPN-Tunnels arbeiten (zuvor war dies ohne Angabe von IPv4-Adressen nicht möglich).
- Möglichkeit, Datenverschlüsselungs- und Sicherungsdatenverschlüsselungseinstellungen über das Clientverbindungsskript an Clients zu binden.
- Möglichkeit, die MTU-Größe für die Tun / Tap-Oberfläche in Windows anzugeben.
Unterstützung für die Auswahl der OpenSSL-Engine für den Zugriff auf den privaten Schlüssel (z. B. TPM).
Die Option "–auth-gen-token" unterstützt jetzt die HMAC-basierte Token-Generierung. - Möglichkeit zur Verwendung von / 31-Netzmasken in IPv4-Einstellungen (OpenVPN versucht nicht mehr, eine Broadcast-Adresse festzulegen).
- Option "–block-ipv6" hinzugefügt, um jedes IPv6-Paket zu blockieren.
- Mit den Optionen "–ifconfig-ipv6" und "–ifconfig-ipv6-push" können Sie den Hostnamen anstelle der IP-Adresse angeben (die Adresse wird durch DNS bestimmt).
- TLS 1.3-Unterstützung. TLS 1.3 erfordert mindestens OpenSSL 1.1.1. Die Optionen "–tls-ciphersuites" und "–tls-groups" wurden hinzugefügt, um die TLS-Parameter anzupassen.