Praėjus beveik ketveriems metams nuo 2.4 filialo paskelbimo kurių mažosios versijos buvo išleistos (klaidų taisymai ir keletas papildomų funkcijų) Parengtas „OpenVPN 2.5.0“ leidimas.
Ši nauja versija ateina su daug didelių pokyčių, iš kurių įdomiausi, kuriuos galime rasti, yra susiję su šifravimo pokyčiais, taip pat perėjimu prie IPv6 ir naujų protokolų priėmimu.
Apie „OpenVPN“
Tiems, kurie nėra susipažinę su „OpenVPN“, jie turėtų tai žinoti tai yra nemokama programine įranga pagrįsta ryšio priemonė, SSL („Secure Sockets Layer“), VPT virtualus privatus tinklas.
OpenVPN siūlo ryšį nuo taško iki taško, hierarchiškai patvirtinant prijungtus vartotojus ir pagrindinius kompiuterius nuotoliniu būdu. Tai yra labai gera galimybė naudotis „Wi-Fi“ technologijomis (belaidžiai IEEE 802.11 tinklai) ir palaiko plačią konfigūraciją, įskaitant apkrovos balansavimą.
„OpenVPN“ yra daugiaplatformis įrankis, kuris supaprastino VPN konfigūraciją, palyginti su senesniais ir sunkiau sukonfigūruojamais, tokiais kaip „IPsec“, ir daro jį prieinamesnį nepatyrusiems žmonėms tokio tipo technologijose.
Pagrindinės naujos „OpenVPN 2.5.0“ funkcijos
Iš svarbiausių pakeitimų galime pastebėti, kad ši nauja „OpenVPN 2.5.0“ versija yra palaiko šifravimą „datalink“ naudojant srauto šifravimą ChaCha20 ir algoritmas pranešimo autentifikavimas (MAC) "Poly1305" kurie yra išdėstyti kaip greitesni ir saugesni AES-256-CTR ir HMAC atitikmenys, kurių programinės įrangos diegimas leidžia pasiekti fiksuotą vykdymo laiką nenaudojant specialios aparatinės įrangos palaikymo.
La galimybė kiekvienam klientui suteikti unikalų „tls-crypt“ raktą, tai leidžia didelėms organizacijoms ir VPN teikėjams naudoti tuos pačius TLS kamino apsaugos ir DoS prevencijos metodus, kurie anksčiau buvo prieinami mažomis konfigūracijomis naudojant „tls-auth“ arba „tls-crypt“.
Kitas svarbus pakeitimas yra patobulintas derybų dėl šifravimo mechanizmas naudojamas duomenų perdavimo kanalui apsaugoti. Kad išvengtumėte neaiškumų dėl parinkties „tls-cipher“ ir pabrėžtumėte, kad konfigūruojant duomenų kanalų šifrus, pirmenybė teikiama duomenų šiframs (senasis pavadinimas išsaugotas suderinamumui), „ncp -šifrai“ pervardyti į duomenų šifrus.
Dabar klientai, naudodami kintamąjį IV_CIPHERS, siunčia serveriui visų palaikomų duomenų šifrų sąrašą, kuris leidžia serveriui pasirinkti pirmąjį šifrą, suderinamą su abiem pusėmis.
BF-CBC šifravimo palaikymas pašalintas iš numatytųjų nustatymų. „OpenVPN 2.5“ pagal numatytuosius nustatymus dabar palaiko tik AES-256-GCM ir AES-128-GCM. Šią elgseną galima pakeisti naudojant duomenų šifravimo parinktį. Atnaujinant į naujesnę „OpenVPN“ versiją, reikia konfigūruoti BF-CBC šifravimas senuose konfigūracijos failuose bus konvertuotas į BF-CBC pridėti prie duomenų šifro rinkinio ir įgalintas atsarginis duomenų šifravimo režimas.
Pridėta asinchroninio autentifikavimo palaikymas (atidėtas) į aut. pam papildinį. Panašiai parinktis „–client-connect“ ir „plugin connect“ API suteikė galimybę atidėti konfigūracijos failo grąžinimą.
„Linux“ sistemoje buvo pridėta tinklo sąsajų palaikymas virtualus nukreipimas ir persiuntimas (VRF). Variantas „–Bind-dev“ yra skirtas įdėti užsienio jungtį į VRF.
IP adresų ir maršrutų konfigūravimo palaikymas naudojant „Netlink“ sąsają, kurią teikia „Linux“ branduolys. „Netlink“ naudojamas, kai sukurtas be parinkties „–enable-iproute2“, ir leidžia „OpenVPN“ veikti be papildomų privilegijų, reikalingų „ip“ naudingumui paleisti.
Protokolas suteikė galimybę naudoti dviejų veiksnių autentifikavimą arba papildomą autentifikavimą žiniatinklyje (SAML), nenutraukiant sesijos po pirmojo patikrinimo (po pirmojo patikrinimo sesija lieka „neautentifikuota“ būsena ir laukia antrojo autentifikavimo. etapas).
Kitų pokyčiai, kurie išsiskiria:
- Dabar galite dirbti tik su IPv6 adresais VPN tunelyje (anksčiau to nebuvo įmanoma padaryti nenurodžius IPv4 adresų).
- Galimybė susieti duomenų šifravimo ir atsarginių duomenų šifravimo parametrus su klientais iš kliento prisijungimo scenarijaus.
- Galimybė nurodyti MTU dydį „tun / tap“ sąsajai sistemoje „Windows“.
Parama pasirinkus „OpenSSL“ variklį norint pasiekti privatųjį raktą (pvz., TPM).
Parinktis „–auth-gen-token“ dabar palaiko žetonų generavimą HMAC pagrindu. - Galimybė naudoti / 31 tinklo kaukes IPv4 nustatymuose („OpenVPN“ nebando bandyti nustatyti transliacijos adreso).
- Pridėta parinktis „–block-ipv6“, kad būtų galima užblokuoti bet kurį IPv6 paketą.
- Parinktys „–ifconfig-ipv6“ ir „–ifconfig-ipv6-push“ leidžia vietoj IP adreso nurodyti pagrindinio kompiuterio vardą (adresą nustatys DNS).
- TLS 1.3 palaikymas. TLS 1.3 reikia bent jau OpenSSL 1.1.1. Pridėta parinkčių „–tls-ciphersuites“ ir „–tls-groups“, kad būtų galima koreguoti TLS parametrus.