Na bijna vier jaar sinds de publicatie van tak 2.4 en van welke kleinere versies werden uitgebracht (bugfixes en enkele extra functies) OpenVPN 2.5.0-release was voorbereid.
Deze nieuwe versie komt met veel grote veranderingen, waarvan de meest interessante die we kunnen vinden verband houden met veranderingen in codering, evenals de overgang naar IPv6 en de acceptatie van nieuwe protocollen.
Over OpenVPN
Voor degenen die niet bekend zijn met OpenVPN, moet u dat weten dit is een gratis op software gebaseerde connectiviteitstool, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN biedt point-to-point connectiviteit met hiërarchische validatie van verbonden gebruikers en hosts van een afstand. Het is een zeer goede optie in Wi-Fi-technologieën (IEEE 802.11 draadloze netwerken) en ondersteunt een brede configuratie, inclusief taakverdeling.
OpenVPN is een tool voor meerdere platforms die de configuratie van VPN's heeft vereenvoudigd in vergelijking met oudere en moeilijker te configureren, zoals IPsec, en het toegankelijker heeft gemaakt voor onervaren mensen in dit soort technologie.
Belangrijkste nieuwe functies van OpenVPN 2.5.0
Van de belangrijkste wijzigingen kunnen we vinden dat deze nieuwe versie van OpenVPN 2.5.0 is ondersteunt codering datalink met behulp van stream-encryptie ChaCha20 en het algoritme berichtverificatie (MAC) Poly1305 die zijn gepositioneerd als snellere en veiligere tegenhangers van AES-256-CTR en HMAC, waarvan de software-implementatie het mogelijk maakt om vaste uitvoeringstijden te bereiken zonder het gebruik van speciale hardware-ondersteuning.
La mogelijkheid om elke klant een unieke tls-crypt-sleutel te geven, waardoor grote organisaties en VPN-providers dezelfde TLS-stackbeveiliging en DoS-preventietechnieken kunnen gebruiken die voorheen beschikbaar waren in kleine configuraties met tls-auth of tls-crypt.
Een andere belangrijke wijziging is de verbeterd mechanisme om over versleuteling te onderhandelen gebruikt om het datatransmissiekanaal te beschermen. Hernoemde ncp-ciphers naar data-ciphers om dubbelzinnigheid met de tls-cipher-optie te vermijden en om te benadrukken dat dataciphers de voorkeur heeft voor het configureren van datakanaalcijfers (de oude naam is behouden voor compatibiliteit).
Clients sturen nu een lijst met alle gegevenscijfers die ze ondersteunen naar de server met behulp van de IV_CIPHERS-variabele, waarmee de server het eerste cijfer kan selecteren dat compatibel is met beide kanten.
Ondersteuning voor BF-CBC-codering is verwijderd uit de standaardinstellingen OpenVPN 2.5 ondersteunt nu standaard alleen AES-256-GCM en AES-128-GCM. Dit gedrag kan worden gewijzigd door de optie voor gegevenscodering te gebruiken. Bij het upgraden naar een nieuwere versie van OpenVPN is de configuratie van BF-CBC-codering in oude configuratiebestanden wordt geconverteerd om BF-CBC toe te voegen aan de datacoderingssuite en gegevensversleuteling back-upmodus ingeschakeld.
Ondersteuning toegevoegd voor asynchrone authenticatie (uitgesteld) naar de auth-pam-plug-in. Op dezelfde manier hebben de "–client-connect" optie en de plugin connect API de mogelijkheid toegevoegd om het terugzenden van het configuratiebestand uit te stellen.
Op Linux is ondersteuning voor netwerkinterfaces toegevoegd virtuele routering en doorsturen (VRF). De optie "–Bind-dev" is bedoeld om een buitenlandse connector in VRF te plaatsen.
Ondersteuning voor het configureren van IP-adressen en routes met behulp van de Netlink-interface van de Linux-kernel. Netlink wordt gebruikt als het is gebouwd zonder de "–enable-iproute2" optie en stelt je in staat OpenVPN te draaien zonder de extra rechten die nodig zijn om het "ip" hulpprogramma uit te voeren.
Het protocol heeft de mogelijkheid toegevoegd om tweefactorauthenticatie of aanvullende authenticatie via het web (SAML) te gebruiken, zonder de sessie te onderbreken na de eerste verificatie (na de eerste verificatie blijft de sessie in de status 'niet-geverifieerd' en wacht op de tweede authenticatie) fase om te voltooien).
Van anderen veranderingen die opvallen:
- U kunt nu alleen werken met IPv6-adressen binnen de VPN-tunnel (voorheen was dit niet mogelijk zonder IPv4-adressen op te geven).
- Mogelijkheid om gegevensversleuteling en back-up van gegevensversleutelingsinstellingen te koppelen aan clients vanuit het clientverbindingsscript.
- Mogelijkheid om de MTU-grootte op te geven voor de tun / tap-interface in Windows.
Ondersteuning voor het kiezen van de OpenSSL-engine om toegang te krijgen tot de privésleutel (bijv. TPM).
De optie "–auth-gen-token" ondersteunt nu op HMAC gebaseerde tokengeneratie. - Mogelijkheid om / 31 netmaskers te gebruiken in IPv4-instellingen (OpenVPN probeert niet langer een uitzendadres in te stellen).
- Optie "–block-ipv6" toegevoegd om elk IPv6-pakket te blokkeren.
- Met de opties "–ifconfig-ipv6" en "–ifconfig-ipv6-push" kunt u de hostnaam specificeren in plaats van het IP-adres (het adres wordt bepaald door DNS).
- TLS 1.3-ondersteuning. TLS 1.3 vereist minimaal OpenSSL 1.1.1. "–Tls-ciphersuites" en "–tls-groups" opties toegevoegd om TLS parameters aan te passen.