Setelah hampir empat tahun sejak penerbitan cawangan 2.4 dan yang mana versi kecil dilepaskan (perbaikan bug dan beberapa ciri tambahan) Pelepasan OpenVPN 2.5.0 telah disediakan.
Versi baru ini dilengkapi dengan banyak perubahan besar, yang paling menarik yang dapat kita temui adalah berkaitan dengan perubahan penyulitan, serta peralihan ke IPv6 dan penggunaan protokol baru.
Mengenai OpenVPN
Bagi mereka yang tidak biasa dengan OpenVPN, anda harus mengetahui perkara itu ini adalah alat penyambungan berasaskan perisian percuma, SSL (Lapisan Soket Selamat), Rangkaian Peribadi Maya VPN.
OpenVPN menawarkan sambungan dari titik ke titik dengan pengesahan hierarki pengguna dan hos yang disambungkan dari jauh. Ini adalah pilihan yang sangat baik dalam teknologi Wi-Fi (rangkaian tanpa wayar IEEE 802.11) dan menyokong konfigurasi yang luas, termasuk pengimbangan beban.
OpenVPN adalah alat pelbagai platform yang telah mempermudah konfigurasi VPN berbanding yang lebih tua dan lebih sukar dikonfigurasikan seperti IPsec dan menjadikannya lebih mudah diakses oleh orang yang tidak berpengalaman dalam jenis teknologi ini.
Ciri baru utama OpenVPN 2.5.0
Dari perubahan yang paling penting kita dapati bahawa versi baru OpenVPN 2.5.0 ini adalah menyokong penyulitan datalink menggunakan penyulitan aliran ChaCha20 dan algoritma pengesahan mesej (MAC) Poly1305 yang diposisikan sebagai rakan sejawat AES-256-CTR dan HMAC yang lebih pantas dan selamat, yang pelaksanaan perisiannya memungkinkan untuk mencapai masa pelaksanaan tetap tanpa menggunakan sokongan perkakasan khas.
La kemampuan untuk menyediakan setiap pelanggan dengan kunci tls-crypt yang unik, yang membolehkan organisasi besar dan penyedia VPN menggunakan teknik TLS stack protection dan DoS pencegahan yang sama yang sebelumnya tersedia dalam konfigurasi kecil menggunakan tls-auth atau tls-crypt.
Perubahan penting lain ialah mekanisme yang lebih baik untuk merundingkan penyulitan digunakan untuk melindungi saluran penghantaran data. Dinamakan semula ncp-ciphers menjadi data-ciphers untuk mengelakkan kesamaran dengan pilihan tls-cipher dan untuk menekankan bahawa data-ciphers lebih disukai untuk mengkonfigurasi data ciphers (nama lama telah disimpan untuk keserasian).
Pelanggan kini menghantar senarai semua cipher data yang mereka sokong ke pelayan menggunakan pemboleh ubah IV_CIPHERS, yang membolehkan pelayan memilih cipher pertama yang serasi dengan kedua-dua belah pihak.
Sokongan enkripsi BF-CBC telah dikeluarkan dari tetapan lalai. OpenVPN 2.5 kini hanya menyokong AES-256-GCM dan AES-128-GCM secara lalai. Tingkah laku ini dapat diubah dengan menggunakan pilihan penyulitan data. Semasa menaik taraf ke versi OpenVPN yang lebih baru, konfigurasi dari Penyulitan BF-CBC dalam fail konfigurasi lama akan ditukar untuk menambahkan BF-CBC ke rangkaian data cipher dan mod sandaran penyulitan data diaktifkan.
Menambah sokongan untuk pengesahan tidak segerak (ditangguhkan) ke plugin auth-pam. Begitu juga, pilihan "–client-connect" dan plugin connect API menambah kemampuan untuk menangguhkan pengembalian fail konfigurasi.
Di Linux, sokongan untuk antara muka rangkaian telah ditambahkan penghalaan dan pemajuan maya (VRF). Pilihannya "–Bind-dev" disediakan untuk meletakkan penyambung asing di VRF.
Sokongan untuk mengkonfigurasi alamat dan laluan IP menggunakan antara muka Netlink yang disediakan oleh kernel Linux. Netlink digunakan semasa dibina tanpa pilihan "–enable-iproute2" dan membolehkan anda menjalankan OpenVPN tanpa hak tambahan yang diperlukan untuk menjalankan utiliti "ip".
Protokol ini menambahkan kemampuan untuk menggunakan pengesahan dua faktor atau pengesahan tambahan melalui Web (SAML), tanpa mengganggu sesi selepas pengesahan pertama (setelah pengesahan pertama, sesi tetap dalam keadaan 'tidak disahkan' dan menunggu pengesahan kedua tahap untuk diselesaikan).
Dari yang lain perubahan yang menonjol:
- Anda kini hanya boleh bekerja dengan alamat IPv6 dalam terowong VPN (sebelum ini mustahil untuk melakukan ini tanpa menentukan alamat IPv4).
- Keupayaan untuk mengikat enkripsi data dan tetapan penyulitan data sandaran kepada pelanggan dari skrip sambungan pelanggan.
- Keupayaan untuk menentukan ukuran MTU untuk antara muka tun / tap pada Windows.
Sokongan untuk memilih enjin OpenSSL untuk mengakses kunci peribadi (contohnya TPM).
Pilihan "–auth-gen-token" kini menyokong penghasilan token berasaskan HMAC. - Keupayaan untuk menggunakan / 31 netmasks dalam tetapan IPv4 (OpenVPN tidak lagi cuba menetapkan alamat siaran).
- Menambah pilihan "–block-ipv6" untuk menyekat sebarang paket IPv6.
- Pilihan "–ifconfig-ipv6" dan "–ifconfig-ipv6-push" membolehkan anda menentukan nama host dan bukannya alamat IP (alamatnya akan ditentukan oleh DNS).
- Sokongan TLS 1.3. TLS 1.3 memerlukan sekurang-kurangnya OpenSSL 1.1.1. Menambah pilihan "–tls-ciphersuites" dan "–tls-groups" untuk menyesuaikan parameter TLS.