Setelah hampir empat tahun sejak penerbitan cabang 2.4 dan versi minor mana yang dirilis (perbaikan bug dan beberapa fitur tambahan) Rilis OpenVPN 2.5.0 telah disiapkan.
Versi baru ini hadir dengan banyak perubahan besar, yang paling menarik yang dapat kami temukan terkait dengan perubahan enkripsi, serta transisi ke IPv6 dan adopsi protokol baru.
Tentang OpenVPN
Bagi mereka yang tidak terbiasa dengan OpenVPN, Anda harus tahu itu ini adalah alat konektivitas berbasis perangkat lunak gratis, SSL (Lapisan Soket Aman), Jaringan Pribadi Virtual VPN.
OpenVPN menawarkan konektivitas point-to-point dengan validasi hierarki dari pengguna dan host yang terhubung dari jarak jauh. Ini adalah opsi yang sangat baik dalam teknologi Wi-Fi (jaringan nirkabel IEEE 802.11) dan mendukung konfigurasi yang luas, termasuk penyeimbangan beban.
OpenVPN adalah alat multiplatform yang telah menyederhanakan konfigurasi VPN dibandingkan dengan yang lebih lama dan lebih sulit untuk dikonfigurasi seperti IPsec dan membuatnya lebih mudah diakses oleh orang yang tidak berpengalaman dalam jenis teknologi ini.
Fitur baru utama OpenVPN 2.5.0
Dari perubahan terpenting, kami dapat menemukan bahwa versi baru OpenVPN 2.5.0 ini mendukung enkripsi datalink menggunakan enkripsi aliran ChaCha20 dan algoritmanya otentikasi pesan (MAC) Poly1305 yang diposisikan sebagai mitra AES-256-CTR dan HMAC yang lebih cepat dan lebih aman, yang implementasi perangkat lunaknya memungkinkan untuk mencapai waktu eksekusi tetap tanpa menggunakan dukungan perangkat keras khusus.
La kemampuan untuk menyediakan kunci tls-crypt unik kepada setiap klien, yang memungkinkan organisasi besar dan penyedia VPN untuk menggunakan perlindungan tumpukan TLS dan teknik pencegahan DoS yang sama yang sebelumnya tersedia dalam konfigurasi kecil menggunakan tls-auth atau tls-crypt.
Perubahan penting lainnya adalah mekanisme yang lebih baik untuk menegosiasikan enkripsi digunakan untuk melindungi saluran transmisi data. Mengganti nama ncp-ciphers menjadi data-ciphers untuk menghindari ambiguitas dengan opsi tls-cipher dan untuk menekankan bahwa data-cipher lebih disukai untuk mengkonfigurasi cipher saluran data (nama lama telah dipertahankan untuk kompatibilitas).
Klien sekarang mengirim daftar semua cipher data yang mereka dukung ke server menggunakan variabel IV_CIPHERS, yang memungkinkan server untuk memilih enkripsi pertama yang didukung oleh kedua sisi.
Dukungan enkripsi BF-CBC telah dihapus dari pengaturan default. OpenVPN 2.5 sekarang hanya mendukung AES-256-GCM dan AES-128-GCM secara default. Perilaku ini dapat diubah dengan menggunakan opsi enkripsi data. Saat meningkatkan ke versi OpenVPN yang lebih baru, konfigurasi Enkripsi BF-CBC di file konfigurasi lama akan diubah untuk menambahkan BF-CBC ke data cipher suite dan mode cadangan enkripsi data diaktifkan.
Menambahkan dukungan untuk otentikasi asinkron (ditangguhkan) ke plugin auth-pam. Demikian pula, opsi "–client-connect" dan API koneksi plugin menambahkan kemampuan untuk menunda pengembalian file konfigurasi.
Di Linux, dukungan untuk antarmuka jaringan telah ditambahkan perutean dan penerusan virtual (VRF). Pilihan "–Bind-dev" disediakan untuk menempatkan konektor asing di VRF.
Dukungan untuk mengkonfigurasi alamat dan rute IP menggunakan antarmuka Netlink yang disediakan oleh kernel Linux. Netlink digunakan saat dibuat tanpa opsi "–enable-iproute2" dan memungkinkan Anda menjalankan OpenVPN tanpa hak tambahan yang diperlukan untuk menjalankan utilitas "ip".
Protokol menambahkan kemampuan untuk menggunakan otentikasi dua faktor atau otentikasi tambahan melalui Web (SAML), tanpa mengganggu sesi setelah verifikasi pertama (setelah verifikasi pertama, sesi tetap dalam status 'tidak diautentikasi' dan menunggu otentikasi kedua tahap untuk menyelesaikan).
Dari yang lain perubahan yang menonjol:
- Anda sekarang dapat bekerja hanya dengan alamat IPv6 di dalam terowongan VPN (sebelumnya tidak mungkin melakukan ini tanpa menentukan alamat IPv4).
- Kemampuan untuk mengikat enkripsi data dan pengaturan enkripsi data cadangan ke klien dari skrip koneksi klien.
- Kemampuan untuk menentukan ukuran MTU untuk antarmuka tun / tap di Windows.
Dukungan untuk memilih mesin OpenSSL untuk mengakses kunci pribadi (misalnya TPM).
Opsi "–auth-gen-token" sekarang mendukung pembuatan token berbasis HMAC. - Kemampuan untuk menggunakan / 31 netmasks dalam pengaturan IPv4 (OpenVPN tidak lagi mencoba mengatur alamat siaran).
- Menambahkan opsi "–block-ipv6" untuk memblokir paket IPv6 apa pun.
- Opsi "–ifconfig-ipv6" dan "–ifconfig-ipv6-push" memungkinkan Anda menentukan nama host alih-alih alamat IP (alamat akan ditentukan oleh DNS).
- Dukungan TLS 1.3. TLS 1.3 membutuhkan setidaknya OpenSSL 1.1.1. Menambahkan opsi "–tls-ciphersuites" dan "–tls-groups" untuk menyesuaikan parameter TLS.