Pärast filiaali 2.4 avaldamisest peaaegu nelja aasta möödumist ja millest väiksemaid versioone avaldati (veaparandused ja mõned lisafunktsioonid) Valmistati ette OpenVPN 2.5.0 versioon.
See uus versioon tuleb palju suuri muudatusi, millest kõige huvitavam, mis meile leida võib, on seotud krüptimise muutustega, samuti IPv6-le üleminekuga ja uute protokollide vastuvõtmisega.
Teave OpenVPN-i kohta
Neile, kellele OpenVPN pole tuttav, peaksite seda teadma see on tasuta tarkvarapõhine ühenduvusvahend, SSL (Secure Sockets Layer), VPN virtuaalne privaatne võrk.
OpenVPN pakub punkt-punkt-ühenduvust ühendatud kasutajate ja hostide hierarhilise valideerimisega eemalt. See on väga hea võimalus WiFi-tehnoloogiates (traadita võrgud IEEE 802.11) ja toetab laia konfiguratsiooni, sealhulgas koormuse tasakaalustamist.
OpenVPN on mitmeplatvormiline tööriist, mis on lihtsustanud VPN-ide konfigureerimist võrreldes vanemate ja keerukamalt konfigureeritavate seadmetega, näiteks IPsec, ning muutnud selle sedalaadi tehnoloogias kogenematutele inimestele kättesaadavamaks.
OpenVPN 2.5.0 peamised uued funktsioonid
Kõige olulisematest muudatustest võime leida, et see on OpenVPN 2.5.0 uus versioon toetab krüptimist datalink, kasutades voo krüptimist ChaCha20 ja algoritm sõnumi autentimine (MAC) Poly1305 mis on paigutatud AES-256-CTR ja HMAC kiiremate ja turvalisemate vastedena, kelle tarkvara juurutamine võimaldab saavutada fikseeritud täitmisaegu ilma spetsiaalse riistvaratoeta.
La võime pakkuda igale kliendile ainulaadset tls-krüptivõtit, mis võimaldab suurtel organisatsioonidel ja VPN-i pakkujatel kasutada samu TLS-i virnakaitse ja DoS-i ennetamise tehnikaid, mis olid varem saadaval väikestes konfiguratsioonides, kasutades tls-auth või tls-crypt.
Teine oluline muudatus on krüptimise üle läbirääkimiste pidamise täiustatud mehhanism kasutatakse andmeedastuskanali kaitsmiseks. Ncp-šifrid nimetati ümber andmefifriteks, et vältida ebaselgust võimalusega tls-cipher ja rõhutada, et andmekanali šifrite konfigureerimisel eelistatakse andmekodeid (ühilduvuse huvides on säilitatud vana nimi).
Kliendid saadavad nüüd muutujaga IV_CIPHERS serverile loendi kõigist oma toetatud andmemärkidest, mis võimaldab serveril valida esimese šifri, mida mõlemad pooled toetavad.
BF-CBC krüptimise tugi on vaikeseadetest eemaldatud. OpenVPN 2.5 toetab nüüd vaikimisi ainult AES-256-GCM-i ja AES-128-GCM-i. Seda käitumist saab muuta andmete krüptimise suvandi abil. OpenVPN-i uuemale versioonile üleminekul tuleb konfigureerida BF-CBC krüptimine vanades konfiguratsioonifailides teisendatakse BF-CBC lisamiseks andmete šifri komplekti ja andmete krüptimise varurežiim on lubatud.
Lisatud asünkroonse autentimise tugi (edasi lükatud) auth-pam pluginale. Samamoodi lisasid suvand "–klient-connect" ja pistikprogrammi ühendamise API võimalus konfiguratsioonifaili tagastamist edasi lükata.
Linuxis lisati võrguliideste tugi virtuaalne marsruutimine ja edastamine (VRF). Valik "–Bind-dev” on ette nähtud võõra pistiku paigutamiseks VRF-i.
IP-aadresside ja marsruutide konfigureerimise tugi Linuxi tuuma pakutava Netlinki liidese abil. Netlinki kasutatakse ilma "-enable-iproute2" suvandita ehitamisel ja see võimaldab OpenVPN-il töötada ilma utiliidi "ip" käivitamiseks vajalike täiendavate õigusteta.
Protokoll lisas võimaluse kasutada kaheastmelist autentimist või täiendavat autentimist veebis (SAML), katkestamata seanssi pärast esimest kontrollimist (pärast esimest kontrollimist jääb seanss "autentimata" olekusse ja oodatakse teist autentimist etapp lõpetada).
Teistest silmapaistvad muudatused:
- Nüüd saate töötada ainult IPv6-aadressidega VPN-tunnelis (varem oli seda võimatu teha ilma IPv4-aadresse määramata).
- Võimalus siduda andmete krüpteerimise ja varukoopia andmete krüptimise seaded klientidega kliendi ühenduse skripti kaudu.
- Võime määrata MTU suurus häälestamise / puudutamise liideseks Windowsis.
Toetus OpenSSL-i mootori valimiseks privaatvõtmele (nt TPM) juurdepääsemiseks.
Valik "–auth-gen-token" toetab nüüd HMAC-põhist märgide genereerimist. - Võimalus kasutada / 31 võrgumaski IPv4 seadetes (OpenVPN ei püüa enam leviaadressi määrata).
- Lisatud on valik „–block-ipv6”, et blokeerida mis tahes IPv6 pakett.
- Valikud "–ifconfig-ipv6" ja "–ifconfig-ipv6-push" võimaldavad teil IP-aadressi asemel määrata hosti nime (aadressi määrab DNS).
- TLS 1.3 tugi. TLS 1.3 nõuab vähemalt OpenSSL 1.1.1. Lisatud TLS-parameetrite korrigeerimiseks valikud „–tls-ciphersuites“ ja „–tls-groups“.