ブランチ2.4の発行からほぼXNUMX年後 そのうちのマイナーバージョンがリリースされていました(バグ修正といくつかの追加機能) OpenVPN2.5.0リリースが準備されました。
この新しいバージョン 多くの大きな変更がありますが、 そのうち最も興味深いのは、暗号化の変更、IPv6への移行、新しいプロトコルの採用に関するものです。
OpenVPNについて
OpenVPNに慣れていない人は、次のことを知っておく必要があります。 これは無料のソフトウェアベースの接続ツールであり、 SSL(Secure Sockets Layer)、VPN仮想プライベートネットワーク。
OpenVPN 接続されたユーザーとホストの階層的検証によるポイントツーポイント接続を提供します リモートで。 これは、Wi-Fiテクノロジー(IEEE 802.11ワイヤレスネットワーク)で非常に優れたオプションであり、負荷分散を含む幅広い構成をサポートします。
OpenVPNは、IPsecなどの古くて構成が難しいVPNと比較して、VPNの構成を簡素化し、このタイプのテクノロジーの経験の浅い人々がVPNにアクセスしやすくするマルチプラットフォームツールです。
OpenVPN2.5.0の主な新機能
最も重要な変更の中で、OpenVPN2.5.0のこの新しいバージョンは 暗号化をサポート ストリーム暗号化を使用したデータリンク ChaCha20とアルゴリズム メッセージ認証(MAC) Poly1305 これらは、AES-256-CTRおよびHMACのより高速で安全な対応物として位置付けられており、そのソフトウェア実装により、特別なハードウェアサポートを使用せずに固定実行時間を実現できます。
La 各クライアントに一意のtls-cryptキーを提供する機能。 これにより、大規模な組織とVPNプロバイダーは、以前はtls-authまたはtls-cryptを使用した小規模な構成で利用可能だったものと同じTLSスタック保護およびDoS防止技術を使用できます。
もうXNUMXつの重要な変更は 暗号化をネゴシエートするための改善されたメカニズム データ伝送チャネルを保護するために使用されます。 tls-cipherオプションとのあいまいさを回避し、データチャネル暗号の構成にはdata-ciphersが優先されることを強調するために、ncp-ciphersの名前をdata-ciphersに変更しました(古い名前は互換性のために保持されています)。
クライアントは、IV_CIPHERS変数を使用して、サポートするすべてのデータ暗号のリストをサーバーに送信するようになりました。これにより、サーバーは、両側と互換性のある最初の暗号を選択できます。
BF-CBC暗号化のサポートはデフォルト設定から削除されました。 OpenVPN 2.5は、デフォルトでAES-256-GCMとAES-128-GCMのみをサポートするようになりました。 この動作は、データ暗号化オプションを使用して変更できます。 OpenVPNの新しいバージョンにアップグレードする場合、 BF-CBC暗号化 古い構成ファイル内 BF-CBCをデータ暗号スイートに追加するように変換されます データ暗号化バックアップモードが有効になっています。
非同期認証のサポートが追加されました (延期)auth-pamプラグインに。 同様に、「– client-connect」オプションとプラグイン接続APIにより、構成ファイルの返送を延期する機能が追加されました。
Linuxでは、ネットワークインターフェイスのサポートが追加されました 仮想ルーティングおよび転送(VRF)。 オプション 「–Bind-dev」は、VRFに外部コネクタを配置するために提供されています。
Linuxカーネルが提供するNetlinkインターフェースを使用したIPアドレスとルートの構成のサポート。 Netlinkは、「– enable-iproute2」オプションなしでビルドされた場合に使用され、「ip」ユーティリティの実行に必要な追加の権限なしでOpenVPNを実行できます。
プロトコルは、最初の検証後にセッションを中断することなく、XNUMX要素認証またはWeb経由の追加認証(SAML)を使用する機能を追加しました(最初の検証後、セッションは「未認証」状態のままで、XNUMX番目の認証を待ちます完了する段階)。
他人の 目立つ変更:
- VPNトンネル内のIPv6アドレスのみを操作できるようになりました(以前は、IPv4アドレスを指定せずにこれを行うことはできませんでした)。
- クライアント接続スクリプトからクライアントにデータ暗号化とバックアップデータ暗号化設定をバインドする機能。
- Windowsのtun / tapインターフェイスのMTUサイズを指定する機能。
秘密鍵(TPMなど)にアクセスするためのOpenSSLエンジンの選択のサポート。
「–auth-gen-token」オプションは、HMACベースのトークン生成をサポートするようになりました。 - IPv31設定で/ 4ネットマスクを使用する機能(OpenVPNはブロードキャストアドレスを設定しようとしなくなりました)。
- IPv6パケットをブロックするための「–block-ipv6」オプションが追加されました。
- 「–ifconfig-ipv6」および「–ifconfig-ipv6-push」オプションを使用すると、IPアドレスの代わりにホスト名を指定できます(アドレスはDNSによって決定されます)。
- TLS1.3のサポート。 TLS 1.3には、少なくともOpenSSL1.1.1が必要です。 TLSパラメータを調整するための「–tls-ciphersuites」および「–tls-groups」オプションが追加されました。