Lähes neljän vuoden kuluttua sivuliikkeen 2.4 julkaisemisesta ja joista pienempiä versioita julkaistiin (virhekorjauksia ja joitain lisäominaisuuksia) Valmistettiin OpenVPN 2.5.0 -julkaisu.
Tämä uusi versio mukana on paljon suuria muutoksia, joista mielenkiintoisimmat löydämme liittyvät salauksen muutoksiin, siirtymiseen IPv6: een ja uusien protokollien käyttöönottoon.
Tietoja OpenVPN: stä
Niille, joille OpenVPN ei ole tuttu, sinun pitäisi tietää se tämä on ilmainen ohjelmistopohjainen liitäntätyökalu, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN tarjoaa yhteys pisteestä pisteeseen yhdistettyjen käyttäjien ja isäntien hierarkkisella vahvistuksella etänä. Se on erittäin hyvä vaihtoehto Wi-Fi-tekniikoissa (langattomat IEEE 802.11 -verkot) ja tukee laajaa kokoonpanoa, mukaan lukien kuormituksen tasapainotus.
OpenVPN on monialustainen työkalu, joka on yksinkertaistanut VPN-verkkojen kokoonpanoa vanhempiin ja vaikeampiin konfigurointiin, kuten IPsec, ja tehnyt siitä helpomman kokemattomille tämäntyyppisessä tekniikassa.
OpenVPN 2.5.0: n tärkeimmät uudet ominaisuudet
Tärkeimmistä muutoksista voidaan todeta, että tämä uusi versio OpenVPN 2.5.0: sta on tukee salausta datalink käyttämällä salaussalausta ChaCha20 ja algoritmi viestin todennus (MAC) Poly1305 jotka on sijoitettu nopeammin ja turvallisemmin AES-256-CTR: n ja HMAC: n vastineiksi, joiden ohjelmistototeutus mahdollistaa kiinteiden suoritusaikojen saavuttamisen ilman erityistä laitteistotukea.
La kyky tarjota jokaiselle asiakkaalle yksilöllinen tls-salausavain, Tämä antaa suurille organisaatioille ja VPN-palveluntarjoajille mahdollisuuden käyttää samoja TLS-pinon suojaus- ja DoS-estotekniikoita, joita aiemmin oli saatavilla pienissä kokoonpanoissa käyttäen tls-auth tai tls-crypt.
Toinen tärkeä muutos on parannettu mekanismi salauksen neuvottelemiseksi käytetään tiedonsiirtokanavan suojaamiseen. Nimeä ncp-salaukset uudelleen salauksiksi, jotta vältetään epäselvyydet tls-cipher-vaihtoehdolla ja korostetaan, että data-salaukset ovat suositeltavia datakanavasalaajien määrittämisessä (vanha nimi on säilytetty yhteensopivuuden vuoksi).
Asiakkaat lähettävät nyt palvelimelle luettelon kaikista tukemistaan salaussalaajista käyttämällä muuttujaa IV_CIPHERS, jonka avulla palvelin voi valita ensimmäisen salauksen, jota molemmat osapuolet tukevat.
BF-CBC-salaustuki on poistettu oletusasetuksista. OpenVPN 2.5 tukee nyt oletuksena vain AES-256-GCM: ää ja AES-128-GCM: ää. Tätä käyttäytymistä voidaan muuttaa käyttämällä salausta. Kun päivität OpenVPN: n uudempaan versioon, sinun on määritettävä BF-CBC-salaus vanhoissa määritystiedostoissa muunnetaan lisäämään BF-CBC datan salauspakettiin ja tietojen salauksen varmuuskopiointitila käytössä.
Lisätty tuki asynkroniselle todennukselle (lykätty) auth-pam-laajennukseen. Vastaavasti "-client-connect" -vaihtoehto ja plugin connect -sovellusliittymä lisäsivät mahdollisuuden lykätä määritystiedoston palauttamista.
Linuxissa verkkoliitäntöjen tuki lisättiin virtuaalinen reititys ja edelleenlähetys (VRF). Vaihtoehto "–Bind-dev" on tarkoitettu sijoittamaan vieras liitin VRF: ään.
Tuki IP-osoitteiden ja reittien määrittämiseen Linux-ytimen tarjoaman Netlink-käyttöliittymän avulla. Netlinkiä käytetään, kun se on rakennettu ilman "–enable-iproute2" -vaihtoehtoa, ja sen avulla voit suorittaa OpenVPN: n ilman lisäoikeuksia, joita tarvitaan "ip" -apuohjelman suorittamiseen.
Protokolla lisäsi mahdollisuuden käyttää kaksivaiheista todennusta tai lisävarmennusta verkon kautta (SAML) keskeyttämättä istuntoa ensimmäisen tarkistuksen jälkeen (ensimmäisen tarkistuksen jälkeen istunto pysyy 'todentamattomassa' tilassa ja odottaa toista todennusta vaihe loppuun).
Muista muutokset, jotka erottuvat:
- Voit nyt työskennellä vain IPv6-osoitteiden kanssa VPN-tunnelissa (aiemmin sitä oli mahdotonta tehdä määrittelemättä IPv4-osoitteita).
- Kyky sitoa datan salaus ja varmuuskopioinnin salausasetukset asiakkaille asiakasyhteyskomentosarjasta.
- Mahdollisuus määrittää MTU-koko tun / tap-käyttöliittymälle Windowsissa.
Tuki OpenSSL-moottorin valitsemiseen yksityisen avaimen (esim. TPM) käyttämiseen.
"–Auth-gen-token" -vaihtoehto tukee nyt HMAC-pohjaista tunnuksen luomista. - Kyky käyttää / 31-verkkomaskia IPv4-asetuksissa (OpenVPN ei enää yritä asettaa lähetysosoitetta).
- Lisätty "–block-ipv6" -vaihtoehto estääksesi kaikki IPv6-paketit.
- "–Ifconfig-ipv6" - ja "–ifconfig-ipv6-push" -vaihtoehtojen avulla voit määrittää isäntänimen IP-osoitteen sijasta (osoitteen määrittää DNS).
- TLS 1.3 -tuki. TLS 1.3 vaatii vähintään OpenSSL 1.1.1: n. Lisätty "–tls-ciphersuites" - ja "-tls-groups" -asetukset TLS-parametrien säätämiseksi.