OpenVPN 2.5.0 уже выпущен и содержит множество изменений.

Спустя почти четыре года с момента публикации ветки 2.4 и какие минорные версии были выпущены (исправления ошибок и некоторые дополнительные функции) Подготовлен релиз OpenVPN 2.5.0.

Эта новая версия претерпел множество серьезных изменений, из которых наиболее интересные, которые мы можем найти, связаны с изменениями в шифровании, а также с переходом на IPv6 и принятием новых протоколов.

О OpenVPN

Тем, кто не знаком с OpenVPN, следует знать, что это бесплатный инструмент для подключения к программному обеспечению, SSL (уровень защищенных сокетов), виртуальная частная сеть VPN.

OpenVPN предлагает двухточечное соединение с иерархической проверкой подключенных пользователей и хостов удаленно. Это очень хороший вариант в технологиях Wi-Fi (беспроводные сети IEEE 802.11) и поддерживает широкую конфигурацию, включая балансировку нагрузки.

OpenVPN - это многоплатформенный инструмент, который упростил настройку VPN по сравнению с более старыми и более сложными в настройке, такими как IPsec, и сделал его более доступным для неопытных людей в этом типе технологий.

Основные новые возможности OpenVPN 2.5.0

Из наиболее важных изменений мы можем обнаружить, что эта новая версия OpenVPN 2.5.0 является поддерживает шифрование канал передачи данных с использованием потокового шифрования ChaCha20 и алгоритм аутентификация сообщения (MAC) Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без использования специальной аппаратной поддержки.

La возможность предоставить каждому клиенту уникальный ключ tls-crypt, который позволяет крупным организациям и поставщикам VPN использовать те же методы защиты стека TLS и предотвращения DoS, которые ранее были доступны в небольших конфигурациях с использованием tls-auth или tls-crypt.

Еще одно важное изменение - улучшенный механизм согласования шифрования используется для защиты канала передачи данных. Ncp-ciphers переименован в data-ciphers, чтобы избежать двусмысленности с опцией tls-cipher и подчеркнуть, что data-ciphers предпочтительнее для настройки шифров канала данных (старое название было сохранено для совместимости).

Теперь клиенты отправляют на сервер список всех поддерживаемых ими шифров данных с помощью переменной IV_CIPHERS, которая позволяет серверу выбрать первый шифр, совместимый с обеими сторонами.

Поддержка шифрования BF-CBC была удалена из настроек по умолчанию.. OpenVPN 2.5 теперь по умолчанию поддерживает только AES-256-GCM и AES-128-GCM. Это поведение можно изменить, используя параметр шифрования данных. При обновлении до более новой версии OpenVPN конфигурация BF-CBC шифрование в старых файлах конфигурации будет преобразован для добавления BF-CBC в набор шифров данных и включен режим резервного копирования с шифрованием данных.

Добавлена ​​поддержка асинхронной аутентификации. (отложено) плагину auth-pam. Точно так же опция «–client-connect» и API подключения подключаемого модуля добавили возможность отложить возврат файла конфигурации.

В Linux добавлена ​​поддержка сетевых интерфейсов. виртуальная маршрутизация и пересылка (VRF). Опция «–Bind-dev» предназначен для размещения внешнего коннектора в VRF.

Поддержка настройки IP-адресов и маршрутов с помощью интерфейса Netlink, предоставляемого ядром Linux. Netlink используется при сборке без опции «–enable-iproute2» и позволяет OpenVPN работать без дополнительных привилегий, необходимых для запуска утилиты «ip».

В протоколе добавлена ​​возможность использовать двухфакторную аутентификацию или дополнительную аутентификацию через Интернет (SAML), не прерывая сеанс после первой проверки (после первой проверки сеанс остается в состоянии `` неаутентифицирован '' и ждет второй аутентификации этап для завершения).

Других выделяющиеся изменения:

  • Теперь вы можете работать только с IPv6-адресами внутри VPN-туннеля (раньше это было невозможно сделать без указания IPv4-адресов).
  • Возможность привязать параметры шифрования данных резервного копирования и шифрования данных к клиентам из сценария подключения клиента.
  • Возможность указать размер MTU для интерфейса tun / tap в Windows.
    Поддержка выбора движка OpenSSL для доступа к закрытому ключу (например, TPM).
    Параметр «–auth-gen-token» теперь поддерживает создание токенов на основе HMAC.
  • Возможность использовать сетевые маски / 31 в настройках IPv4 (OpenVPN больше не пытается установить широковещательный адрес).
  • Добавлена ​​опция «–block-ipv6» для блокировки любого пакета IPv6.
  • Параметры «–ifconfig-ipv6» и «–ifconfig-ipv6-push» позволяют указать имя хоста вместо IP-адреса (адрес будет определяться DNS).
  • Поддержка TLS 1.3. TLS 1.3 требует как минимум OpenSSL 1.1.1. Добавлены параметры «–tls-ciphersuites» и «–tls-groups» для настройки параметров TLS.

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.