Po prawie czterech latach od publikacji działu 2.4 i które pomniejsze wersje zostały wydane (poprawki błędów i kilka dodatkowych funkcji) Przygotowano wydanie OpenVPN 2.5.0.
Ta nowa wersja zawiera wiele poważnych zmian, z których najciekawsze, jakie możemy znaleźć, dotyczą zmian w szyfrowaniu, a także przejścia na IPv6 i przyjęcia nowych protokołów.
O OpenVPN
Dla tych, którzy nie są zaznajomieni z OpenVPN, powinieneś to wiedzieć jest to bezpłatne narzędzie do łączności oparte na oprogramowaniu, SSL (Secure Sockets Layer), wirtualna sieć prywatna VPN.
OpenVPN oferuje łączność punkt-punkt z hierarchicznym sprawdzaniem poprawności podłączonych użytkowników i hostów zdalnie. Jest to bardzo dobra opcja w technologiach Wi-Fi (sieci bezprzewodowe IEEE 802.11) i obsługuje szeroką konfigurację, w tym równoważenie obciążenia.
OpenVPN to wieloplatformowe narzędzie, które uprościło konfigurację VPN w porównaniu do starszych i trudniejszych do skonfigurowania, takich jak IPsec, i uczyniło je bardziej dostępnym dla niedoświadczonych ludzi w tego typu technologii.
Główne nowe funkcje OpenVPN 2.5.0
Z najważniejszych zmian możemy stwierdzić, że ta nowa wersja OpenVPN 2.5.0 to obsługuje szyfrowanie łącze danych przy użyciu szyfrowania strumieniowego ChaCha20 i algorytm uwierzytelnianie wiadomości (MAC) Poly1305 które są pozycjonowane jako szybsze i bezpieczniejsze odpowiedniki AES-256-CTR i HMAC, których implementacja programowa pozwala na osiągnięcie stałych czasów wykonania bez użycia specjalnego wsparcia sprzętowego.
La możliwość dostarczenia każdemu klientowi unikalnego klucza kryptograficznego tls, co umożliwia dużym organizacjom i dostawcom VPN korzystanie z tych samych technik ochrony stosu TLS i zapobiegania atakom DoS, które były wcześniej dostępne w małych konfiguracjach korzystających z tls-auth lub tls-crypt.
Kolejną ważną zmianą jest ulepszony mechanizm negocjowania szyfrowania służy do ochrony kanału transmisji danych. Zmieniono nazwę ncp-ciphers na data-ciphers, aby uniknąć niejednoznaczności z opcją tls-cipher i podkreślić, że szyfrowanie danych jest preferowane do konfigurowania szyfrów kanałów danych (stara nazwa została zachowana ze względu na kompatybilność).
Klienci wysyłają teraz listę wszystkich obsługiwanych przez siebie szyfrów danych do serwera przy użyciu zmiennej IV_CIPHERS, która umożliwia serwerowi wybranie pierwszego szyfru zgodnego z obiema stronami.
Obsługa szyfrowania BF-CBC została usunięta z ustawień domyślnych. OpenVPN 2.5 obsługuje teraz domyślnie tylko AES-256-GCM i AES-128-GCM. To zachowanie można zmienić za pomocą opcji szyfrowania danych. Podczas aktualizacji do nowszej wersji OpenVPN konfiguracja Szyfrowanie BF-CBC w starych plikach konfiguracyjnych zostaną przekonwertowane, aby dodać BF-CBC do zestawu szyfrów danych i włączony tryb tworzenia kopii zapasowych z szyfrowaniem danych.
Dodano obsługę uwierzytelniania asynchronicznego (odroczona) do wtyczki auth-pam. Podobnie opcja „–client-connect” i API connect plugin dodały możliwość odroczenia zwrotu pliku konfiguracyjnego.
W systemie Linux dodano obsługę interfejsów sieciowych wirtualne trasowanie i przekazywanie (VRF). Opcja "–Bind-dev" służy do umieszczania obcego złącza w VRF.
Obsługa konfigurowania adresów IP i tras przy użyciu interfejsu Netlink dostarczonego przez jądro Linuksa. Netlink jest używany, gdy jest zbudowany bez opcji „–enable-iproute2” i umożliwia działanie OpenVPN bez dodatkowych uprawnień wymaganych do uruchomienia narzędzia „ip”.
Protokół dodał możliwość korzystania z uwierzytelniania dwuskładnikowego lub dodatkowego uwierzytelniania przez sieć (SAML), bez przerywania sesji po pierwszej weryfikacji (po pierwszej weryfikacji sesja pozostaje w stanie `` nieuwierzytelnionym '' i czeka na drugie uwierzytelnienie etap do ukończenia).
Innych zmiany, które się wyróżniają:
- Możesz teraz pracować tylko z adresami IPv6 w tunelu VPN (wcześniej nie można było tego zrobić bez określenia adresów IPv4).
- Możliwość powiązania szyfrowania danych i kopii zapasowych ustawień szyfrowania danych z klientami ze skryptu połączenia klienta.
- Możliwość określenia rozmiaru MTU dla interfejsu tun / tap w systemie Windows.
Obsługa wyboru silnika OpenSSL w celu uzyskania dostępu do klucza prywatnego (np. TPM).
Opcja „–auth-gen-token” obsługuje teraz generowanie tokenów w oparciu o HMAC. - Możliwość używania masek sieciowych / 31 w ustawieniach IPv4 (OpenVPN nie próbuje już ustawić adresu rozgłoszeniowego).
- Dodano opcję „–block-ipv6”, aby zablokować dowolny pakiet IPv6.
- Opcje „–ifconfig-ipv6” i „–ifconfig-ipv6-push” umożliwiają określenie nazwy hosta zamiast adresu IP (adres zostanie określony przez DNS).
- Obsługa TLS 1.3. TLS 1.3 wymaga co najmniej OpenSSL 1.1.1. Dodano opcje „–tls-ciphersuites” i „–tls-groups” w celu dostosowania parametrów TLS.