Etter nesten fire år siden utgivelsen av avdeling 2.4 og av hvilke mindre versjoner som ble utgitt (feilrettinger og noen tilleggsfunksjoner) OpenVPN 2.5.0-utgivelse ble utarbeidet.
Denne nye versjonen kommer med mange store endringer, hvorav det mest interessante vi kan finne er relatert til endringer i kryptering, samt overgangen til IPv6 og vedtakelsen av nye protokoller.
Om OpenVPN
For de som ikke er kjent med OpenVPN, bør du vite det dette er et gratis programvarebasert tilkoblingsverktøy, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN tilbyr punkt-til-punkt-tilkobling med hierarkisk validering av tilkoblede brukere og verter eksternt. Det er et veldig godt alternativ innen Wi-Fi-teknologier (IEEE 802.11 trådløse nettverk) og støtter en bred konfigurasjon, inkludert lastbalansering.
OpenVPN er et multiplatformverktøy som har forenklet konfigurasjonen av VPN-er sammenlignet med eldre og vanskeligere å konfigurere som IPsec og gjør det mer tilgjengelig for uerfarne mennesker i denne typen teknologi.
De viktigste nye funksjonene i OpenVPN 2.5.0
Av de viktigste endringene kan vi finne at denne nye versjonen av OpenVPN 2.5.0 er støtter kryptering datalink ved hjelp av streamkryptering ChaCha20 og algoritmen meldingsautentisering (MAC) Poly1305 som er posisjonert som raskere og sikrere kolleger til AES-256-CTR og HMAC, hvis programvareimplementering gjør det mulig å oppnå faste kjøringstider uten bruk av spesiell maskinvarestøtte.
La muligheten til å gi hver klient en unik tls-kryptnøkkel, som gjør det mulig for store organisasjoner og VPN-leverandører å bruke den samme TLS-stack-beskyttelsen og DoS-forebyggingsteknikker som tidligere var tilgjengelige i små konfigurasjoner ved hjelp av tls-auth eller tls-crypt.
En annen viktig endring er forbedret mekanisme for å forhandle om kryptering brukes til å beskytte dataoverføringskanalen. Endret navn på ncp-krypteringer til datakoder for å unngå tvetydighet med alternativet tls-kryptering og for å understreke at datakryptere er foretrukket for å konfigurere datakanalkoder (det gamle navnet er beholdt for kompatibilitet).
Kunder sender nå en liste over alle datakoderne de støtter til serveren ved hjelp av IV_CIPHERS-variabelen, som lar serveren velge den første krypteringen som er kompatibel med begge sider.
BF-CBC-krypteringsstøtte er fjernet fra standardinnstillingene. OpenVPN 2.5 støtter nå bare AES-256-GCM og AES-128-GCM som standard. Denne oppførselen kan endres ved å bruke alternativet for datakryptering. Når du oppgraderer til en nyere versjon av OpenVPN, vil konfigurasjonen av BF-CBC-kryptering i gamle konfigurasjonsfiler vil bli konvertert for å legge til BF-CBC i datakrypteringssuiten og sikkerhetskopimodus for datakryptering aktivert.
Lagt til støtte for asynkron autentisering (utsatt) til auth-pam-plugin. Tilsvarende la alternativet "–client-connect" og plugin connect API muligheten til å utsette retur av konfigurasjonsfilen.
På Linux ble støtte for nettverksgrensesnitt lagt til virtuell ruting og videresending (VRF). Valget "–Bind-dev" er gitt for å plassere en utenlandsk kontakt i VRF.
Støtte for å konfigurere IP-adresser og ruter ved hjelp av Netlink-grensesnittet levert av Linux-kjernen. Netlink brukes når den er bygget uten "–enable-iproute2" -alternativet, og lar OpenVPN kjøre uten de ekstra rettighetene som kreves for å kjøre "ip" -verktøyet.
Protokollen la muligheten til å bruke tofaktorautentisering eller tilleggsgodkjenning over nettet (SAML), uten å avbryte økten etter den første bekreftelsen (etter den første bekreftelsen forblir økten i 'uautentisert' tilstand og vent på den andre autentiseringen scenen å fullføre).
Av andre endringer som skiller seg ut:
- Du kan nå bare jobbe med IPv6-adresser i VPN-tunnelen (tidligere var det umulig å gjøre dette uten å spesifisere IPv4-adresser).
- Evne til å binde innstillinger for datakryptering og sikkerhetskopiering av datakryptering til klienter fra skriptet for klienttilkobling.
- Evne til å spesifisere MTU-størrelsen for tun / tap-grensesnittet i Windows.
Støtte for å velge OpenSSL-motoren for å få tilgang til den private nøkkelen (f.eks. TPM).
Alternativet "–auth-gen-token" støtter nå generering av HMAC-basert token. - Evne til å bruke / 31 nettmasker i IPv4-innstillinger (OpenVPN prøver ikke lenger å angi en kringkastingsadresse).
- Lagt til "–block-ipv6" -alternativet for å blokkere alle IPv6-pakker.
- Alternativene "–ifconfig-ipv6" og "–ifconfig-ipv6-push" lar deg spesifisere vertsnavnet i stedet for IP-adressen (adressen bestemmes av DNS).
- TLS 1.3-støtte. TLS 1.3 krever minst OpenSSL 1.1.1. Lagt til "–tls-ciphersuites" og "–tls-groups" alternativer for å justere TLS-parametere.