2.4 지부 발행 이후 거의 XNUMX 년 후 그리고 어떤 부 버전이 릴리스되고 있는지 (버그 수정 및 일부 추가 기능) OpenVPN 2.5.0 릴리스가 준비되었습니다.
이 새 버전 많은 주요 변경 사항이 있습니다. 가장 흥미로운 점은 암호화 변경, IPv6 로의 전환 및 새로운 프로토콜 채택과 관련이 있습니다.
OpenVPN 정보
OpenVPN에 익숙하지 않은 사람들은 다음 사항을 알아야합니다. 이것은 무료 소프트웨어 기반 연결 도구입니다. SSL (Secure Sockets Layer), VPN 가상 사설망.
OpenVPN 연결된 사용자 및 호스트의 계층 적 검증을 통해 지점 간 연결을 제공합니다. 떨어져서. Wi-Fi 기술 (IEEE 802.11 무선 네트워크)에서 매우 좋은 옵션이며로드 밸런싱을 포함한 광범위한 구성을 지원합니다.
OpenVPN은 이전에 비해 VPN 구성을 단순화하고 IPsec과 같이 구성하기가 더 어렵고 이러한 유형의 기술에 경험이없는 사람들이 더 쉽게 액세스 할 수 있도록하는 다중 플랫폼 도구입니다.
OpenVPN 2.5.0의 새로운 주요 기능
가장 중요한 변경 사항 중 OpenVPN 2.5.0의 새 버전은 암호화 지원 스트림 암호화를 사용하는 데이터 링크 ChaCha20 및 알고리즘 메시지 인증 (MAC) Poly1305 AES-256-CTR 및 HMAC의 소프트웨어 구현으로 특수 하드웨어 지원을 사용하지 않고도 고정 된 실행 시간을 달성 할 수있는보다 빠르고 안전한 대응 제품으로 포지셔닝됩니다.
La 각 클라이언트에게 고유 한 tls-crypt 키를 제공하는 기능, 이를 통해 대규모 조직 및 VPN 공급자는 이전에 tls-auth 또는 tls-crypt를 사용하여 소규모 구성에서 사용할 수 있었던 동일한 TLS 스택 보호 및 DoS 방지 기술을 사용할 수 있습니다.
또 다른 중요한 변화는 암호화 협상을위한 개선 된 메커니즘 데이터 전송 채널을 보호하는 데 사용됩니다. tls-cipher 옵션의 모호함을 방지하고 데이터 채널 암호를 구성하는 데 데이터 암호가 선호된다는 것을 강조하기 위해 ncp-ciphers를 data-ciphers로 이름을 변경했습니다 (호환성을 위해 이전 이름이 유지되었습니다).
이제 클라이언트는 IV_CIPHERS 변수를 사용하여 지원하는 모든 데이터 암호 목록을 서버에 전송합니다.이를 통해 서버는 양쪽에서 지원하는 첫 번째 암호화를 선택할 수 있습니다.
BF-CBC 암호화 지원이 기본 설정에서 제거되었습니다.. OpenVPN 2.5는 이제 기본적으로 AES-256-GCM 및 AES-128-GCM 만 지원합니다. 이 동작은 데이터 암호화 옵션을 사용하여 변경할 수 있습니다. 최신 버전의 OpenVPN으로 업그레이드 할 때 BF-CBC 암호화 이전 구성 파일 데이터 암호화 제품군에 BF-CBC를 추가하기 위해 변환됩니다. 데이터 암호화 백업 모드가 활성화되었습니다.
비동기 인증에 대한 지원 추가 (지연됨) auth-pam 플러그인으로. 마찬가지로 "–client-connect"옵션과 플러그인 연결 API는 구성 파일 반환을 연기하는 기능을 추가했습니다.
Linux에서 네트워크 인터페이스에 대한 지원이 추가되었습니다. VRF (가상 라우팅 및 포워딩). 옵션 VRF에 외부 커넥터를 배치하기 위해 "–Bind-dev"가 제공됩니다.
Linux 커널에서 제공하는 Netlink 인터페이스를 사용하여 IP 주소 및 경로 구성을 지원합니다. Netlink는 "–enable-iproute2"옵션없이 구축 될 때 사용되며 "ip"유틸리티를 실행하는 데 필요한 추가 권한없이 OpenVPN을 실행할 수 있습니다.
프로토콜은 첫 번째 확인 후 세션을 중단하지 않고 XNUMX 단계 인증 또는 웹을 통한 추가 인증 (SAML)을 사용하는 기능을 추가했습니다 (첫 번째 확인 후 세션은 '인증되지 않음'상태로 유지되고 두 번째 인증을 기다립니다. 완료 할 단계).
다른 것들의 눈에 띄는 변화 :
- 이제 VPN 터널 내에서 IPv6 주소로만 작업 할 수 있습니다 (이전에는 IPv4 주소를 지정하지 않고는 불가능했습니다).
- 클라이언트 연결 스크립트에서 데이터 암호화 및 백업 데이터 암호화 설정을 클라이언트에 바인딩하는 기능.
- Windows에서 tun / tap 인터페이스에 대한 MTU 크기를 지정하는 기능.
개인 키 (예 : TPM)에 액세스하기위한 OpenSSL 엔진 선택 지원.
"–auth-gen-token"옵션은 이제 HMAC 기반 토큰 생성을 지원합니다. - IPv31 설정에서 / 4 개의 넷 마스크 사용 가능 (OpenVPN은 더 이상 브로드 캐스트 주소 설정을 시도하지 않음).
- 모든 IPv6 패킷을 차단하는 "–block-ipv6"옵션이 추가되었습니다.
- "–ifconfig-ipv6"및 "–ifconfig-ipv6-push"옵션을 사용하면 IP 주소 대신 호스트 이름을 지정할 수 있습니다 (주소는 DNS에 의해 결정됨).
- TLS 1.3 지원. TLS 1.3에는 최소한 OpenSSL 1.1.1이 필요합니다. TLS 매개 변수를 조정하기 위해 "–tls-ciphersuites"및 "–tls-groups"옵션이 추가되었습니다.