Спустя почти четыре года с момента публикации ветки 2.4 и какие минорные версии были выпущены (исправления ошибок и некоторые дополнительные функции) Подготовлен релиз OpenVPN 2.5.0.
Эта новая версия претерпел множество серьезных изменений, из которых наиболее интересные, которые мы можем найти, связаны с изменениями в шифровании, а также с переходом на IPv6 и принятием новых протоколов.
О OpenVPN
Тем, кто не знаком с OpenVPN, следует знать, что это бесплатный инструмент для подключения к программному обеспечению, SSL (уровень защищенных сокетов), виртуальная частная сеть VPN.
OpenVPN предлагает двухточечное соединение с иерархической проверкой подключенных пользователей и хостов удаленно. Это очень хороший вариант в технологиях Wi-Fi (беспроводные сети IEEE 802.11) и поддерживает широкую конфигурацию, включая балансировку нагрузки.
OpenVPN - это многоплатформенный инструмент, который упростил настройку VPN по сравнению с более старыми и более сложными в настройке, такими как IPsec, и сделал его более доступным для неопытных людей в этом типе технологий.
Основные новые возможности OpenVPN 2.5.0
Из наиболее важных изменений мы можем обнаружить, что эта новая версия OpenVPN 2.5.0 является поддерживает шифрование канал передачи данных с использованием потокового шифрования ChaCha20 и алгоритм аутентификация сообщения (MAC) Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без использования специальной аппаратной поддержки.
La возможность предоставить каждому клиенту уникальный ключ tls-crypt, который позволяет крупным организациям и поставщикам VPN использовать те же методы защиты стека TLS и предотвращения DoS, которые ранее были доступны в небольших конфигурациях с использованием tls-auth или tls-crypt.
Еще одно важное изменение - улучшенный механизм согласования шифрования используется для защиты канала передачи данных. Ncp-ciphers переименован в data-ciphers, чтобы избежать двусмысленности с опцией tls-cipher и подчеркнуть, что data-ciphers предпочтительнее для настройки шифров канала данных (старое название было сохранено для совместимости).
Теперь клиенты отправляют на сервер список всех поддерживаемых ими шифров данных с помощью переменной IV_CIPHERS, которая позволяет серверу выбрать первый шифр, совместимый с обеими сторонами.
Поддержка шифрования BF-CBC была удалена из настроек по умолчанию.. OpenVPN 2.5 теперь по умолчанию поддерживает только AES-256-GCM и AES-128-GCM. Это поведение можно изменить, используя параметр шифрования данных. При обновлении до более новой версии OpenVPN конфигурация BF-CBC шифрование в старых файлах конфигурации будет преобразован для добавления BF-CBC в набор шифров данных и включен режим резервного копирования с шифрованием данных.
Добавлена поддержка асинхронной аутентификации. (отложено) плагину auth-pam. Точно так же опция «–client-connect» и API подключения подключаемого модуля добавили возможность отложить возврат файла конфигурации.
В Linux добавлена поддержка сетевых интерфейсов. виртуальная маршрутизация и пересылка (VRF). Опция «–Bind-dev» предназначен для размещения внешнего коннектора в VRF.
Поддержка настройки IP-адресов и маршрутов с помощью интерфейса Netlink, предоставляемого ядром Linux. Netlink используется при сборке без опции «–enable-iproute2» и позволяет OpenVPN работать без дополнительных привилегий, необходимых для запуска утилиты «ip».
В протоколе добавлена возможность использовать двухфакторную аутентификацию или дополнительную аутентификацию через Интернет (SAML), не прерывая сеанс после первой проверки (после первой проверки сеанс остается в состоянии `` неаутентифицирован '' и ждет второй аутентификации этап для завершения).
Других выделяющиеся изменения:
- Теперь вы можете работать только с IPv6-адресами внутри VPN-туннеля (раньше это было невозможно сделать без указания IPv4-адресов).
- Возможность привязать параметры шифрования данных резервного копирования и шифрования данных к клиентам из сценария подключения клиента.
- Возможность указать размер MTU для интерфейса tun / tap в Windows.
Поддержка выбора движка OpenSSL для доступа к закрытому ключу (например, TPM).
Параметр «–auth-gen-token» теперь поддерживает создание токенов на основе HMAC. - Возможность использовать сетевые маски / 31 в настройках IPv4 (OpenVPN больше не пытается установить широковещательный адрес).
- Добавлена опция «–block-ipv6» для блокировки любого пакета IPv6.
- Параметры «–ifconfig-ipv6» и «–ifconfig-ipv6-push» позволяют указать имя хоста вместо IP-адреса (адрес будет определяться DNS).
- Поддержка TLS 1.3. TLS 1.3 требует как минимум OpenSSL 1.1.1. Добавлены параметры «–tls-ciphersuites» и «–tls-groups» для настройки параметров TLS.