Pēc gandrīz četriem gadiem kopš 2.4. Filiāles publicēšanas un kuru mazās versijas tika izlaistas (kļūdu labojumi un dažas papildu funkcijas) Tika sagatavota OpenVPN 2.5.0 versija.
Šī jaunā versija nāk ar daudzām būtiskām izmaiņām, no kuriem visinteresantākie, ko varam atrast, ir saistīti ar izmaiņām šifrēšanā, kā arī ar pāreju uz IPv6 un jaunu protokolu pieņemšanu.
Par OpenVPN
Tiem, kas nav pazīstami ar OpenVPN, jums tas būtu jāzina tas ir bezmaksas programmatūras savienojuma rīks, SSL (Secure Sockets Layer), VPN virtuālais privātais tīkls.
OpenVPN piedāvā savienojumu no punkta uz punktu ar hierarhisku pievienoto lietotāju un resursdatoru validāciju attālināti. Tas ir ļoti labs risinājums Wi-Fi tehnoloģijās (IEEE 802.11 bezvadu tīkli) un atbalsta plašu konfigurāciju, ieskaitot slodzes līdzsvarošanu.
OpenVPN ir daudzplatformu rīks, kas ir vienkāršojis VPN konfigurāciju salīdzinājumā ar vecākiem un grūtāk konfigurējamiem, piemēram, IPsec, un padarot to pieejamāku nepieredzējušiem cilvēkiem šāda veida tehnoloģijās.
Galvenās jaunās OpenVPN 2.5.0 iespējas
No vissvarīgākajām izmaiņām varam konstatēt, ka šī ir jaunā OpenVPN 2.5.0 versija atbalsta šifrēšanu datalink, izmantojot straumes šifrēšanu ChaCha20 un algoritms ziņojuma autentifikācija (MAC) Poly1305 kas tiek pozicionēti kā ātrāki un drošāki AES-256-CTR un HMAC kolēģi, kuru programmatūras ieviešana ļauj sasniegt fiksētus izpildes laikus, neizmantojot īpašu aparatūras atbalstu.
La spēja katram klientam nodrošināt unikālu tls-kriptas atslēgu, kas ļauj lielām organizācijām un VPN nodrošinātājiem izmantot tās pašas TLS kaudzes aizsardzības un DoS novēršanas metodes, kas iepriekš bija pieejamas mazās konfigurācijās, izmantojot tls-auth vai tls-crypt.
Vēl viena svarīga izmaiņa ir uzlabots šifrēšanas sarunu mehānisms izmanto, lai aizsargātu datu pārraides kanālu. Lai izvairītos no neskaidrības ar opciju tls-cipher un lai uzsvērtu, ka datu kanālu šifru konfigurēšanai priekšroka tiek dota šifriem (vecais nosaukums ir saglabāts savietojamībai), pārdēvēja ncp-ciparus par datu šifriem.
Tagad klienti, izmantojot mainīgo IV_CIPHERS, nosūta serverim visu atbalstīto datu šifru sarakstu, kas ļauj serverim izvēlēties pirmo abām pusēm saderīgo šifru.
BF-CBC šifrēšanas atbalsts ir noņemts no noklusējuma iestatījumiem. Tagad OpenVPN 2.5 pēc noklusējuma atbalsta tikai AES-256-GCM un AES-128-GCM. Šo rīcību var mainīt, izmantojot datu šifrēšanas opciju. Jauninot uz jaunāku OpenVPN versiju, konfigurējiet BF-CBC šifrēšana vecos konfigurācijas failos tiks konvertēts, lai pievienotu BF-CBC datu šifra komplektam un iespējots datu šifrēšanas dublēšanas režīms.
Pievienots atbalsts asinhronai autentifikācijai (atlikts) uz auth-pam spraudni. Līdzīgi opcija “–client-connect” un spraudņa savienojuma API pievienoja iespēju atlikt konfigurācijas faila atgriešanu.
Operētājsistēmā Linux tika pievienots atbalsts tīkla saskarnēm virtuālā maršrutēšana un pārsūtīšana (VRF). Opcija "–Bind-dev" ir paredzēts, lai VRF ievietotu ārvalstu savienotāju.
Atbalsts IP adrešu un maršrutu konfigurēšanai, izmantojot Netlink saskarni, ko nodrošina Linux kodols. Netlink tiek izmantots, ja tas tiek veidots bez opcijas “–enable-iproute2”, un ļauj OpenVPN darboties bez papildu tiesībām, kas nepieciešamas, lai palaistu “ip” utilītu.
Protokols pievienoja iespēju izmantot divu faktoru autentifikāciju vai papildu autentifikāciju tīmeklī (SAML), nepārtraucot sesiju pēc pirmās verifikācijas (pēc pirmās verifikācijas sesija paliek “neautentificētā” stāvoklī un gaida otro autentifikāciju. posms līdz pabeigšanai).
No citiem izmaiņas, kas izceļas:
- Tagad VPN tunelī varat strādāt tikai ar IPv6 adresēm (iepriekš to nebija iespējams izdarīt, nenorādot IPv4 adreses).
- Spēja piesaistīt datu šifrēšanas un datu dublēšanas šifrēšanas iestatījumus klientiem no klienta savienojuma skripta.
- Spēja norādīt MTU lielumu tun / tap interfeisam sistēmā Windows.
Atbalsts OpenSSL motora izvēlei, lai piekļūtu privātajai atslēgai (piemēram, TPM).
Opcija “–auth-gen-token” tagad atbalsta marķieru ģenerēšanu uz HMAC bāzes. - Spēja izmantot / 31 tīkla maskas IPv4 iestatījumos (OpenVPN vairs nemēģina iestatīt apraides adresi).
- Pievienota opcija “–block-ipv6”, lai bloķētu jebkuru IPv6 paketi.
- Opcijas “–ifconfig-ipv6” un “–ifconfig-ipv6-push” ļauj IP adreses vietā norādīt resursdatora nosaukumu (adresi noteiks DNS).
- TLS 1.3 atbalsts. TLS 1.3 nepieciešama vismaz OpenSSL 1.1.1. Pievienotas opcijas “–tls-ciphersuites” un “–tls-groups”, lai pielāgotu TLS parametrus.