Po takmer štyroch rokoch od vydania pobočky 2.4 a z ktorých boli vydané menšie verzie (opravy chýb a niektoré ďalšie funkcie) Bolo pripravené vydanie OpenVPN 2.5.0.
Táto nová verzia prichádza s mnohými zásadnými zmenami, z ktorých najzaujímavejšie, čo môžeme nájsť, súvisia so zmenami šifrovania, ako aj s prechodom na IPv6 a prijatím nových protokolov.
Informácie o OpenVPN
Pre tých, ktorí OpenVPN nepoznajú, mali by ste to vedieť toto je bezplatný softvér na pripojenie, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN ponúka pripojenie typu point-to-point s hierarchickou validáciou pripojených používateľov a hostiteľov na diaľku. Je to veľmi dobrá voľba v technológiách Wi-Fi (bezdrôtové siete IEEE 802.11) a podporuje širokú konfiguráciu vrátane vyvažovania záťaže.
OpenVPN je multiplatformový nástroj, ktorý zjednodušil konfiguráciu sietí VPN v porovnaní so staršími a ťažšie konfigurovateľnými, ako je napríklad IPsec, a sprístupnil ho neskúseným ľuďom v tomto type technológie.
Hlavné nové funkcie OpenVPN 2.5.0
Z najdôležitejších zmien môžeme zistiť, že táto nová verzia OpenVPN 2.5.0 je podporuje šifrovanie dátový odkaz pomocou šifrovania streamu ChaCha20 a algoritmus overenie správy (MAC) Poly1305 ktoré sú umiestnené ako rýchlejšie a bezpečnejšie náprotivky AES-256-CTR a HMAC, ktorých softvérová implementácia umožňuje dosiahnuť pevné časy vykonania bez použitia špeciálnej hardvérovej podpory.
La schopnosť poskytnúť každému klientovi jedinečný kľúč tls-crypt, ktorý umožňuje veľkým organizáciám a poskytovateľom VPN používať rovnaké techniky ochrany TLS zásobníkov a prevencie DoS, ktoré boli predtým dostupné v malých konfiguráciách pomocou tls-auth alebo tls-crypt.
Ďalšou dôležitou zmenou je vylepšený mechanizmus vyjednávania o šifrovaní slúži na ochranu dátového prenosového kanálu. Premenované ncp-šifry na dátové šifry, aby sa predišlo nejasnostiam s možnosťou tls-šifra a zdôraznilo sa, že pre konfiguráciu šifier dátových kanálov sa uprednostňujú dátové šifry (kvôli kompatibilite sa zachoval starý názov).
Klienti teraz posielajú na server zoznam všetkých dátových šifier, ktoré podporujú, pomocou premennej IV_CIPHERS, ktorá umožňuje serveru zvoliť prvé šifrovanie, ktoré je podporované oboma stranami.
Podpora šifrovania BF-CBC bola z predvoleného nastavenia odstránená. OpenVPN 2.5 teraz štandardne podporuje iba AES-256-GCM a AES-128-GCM. Toto správanie je možné zmeniť pomocou možnosti šifrovania údajov. Pri inovácii na novšiu verziu OpenVPN sa konfigurácia servera Šifrovanie BF-CBC v starých konfiguračných súboroch sa prevedú na pridanie BF-CBC do sady dátových šifier a povolený režim zálohovania šifrovania údajov.
Pridaná podpora pre asynchrónne overovanie (odložené) na doplnok auth-pam. Podobne možnosť „–client-connect“ a rozhranie API pre pripojenie doplnkov pridali možnosť odložiť vrátenie konfiguračného súboru.
V systéme Linux bola pridaná podpora sieťových rozhraní virtuálne smerovanie a preposielanie (VRF). Možnosť „–Bind-dev“ slúži na umiestnenie cudzieho konektora vo VRF.
Podpora konfigurácie IP adries a trás pomocou rozhrania Netlink poskytovaného jadrom Linuxu. Netlink sa používa, ak je vytvorený bez možnosti „–enable-iproute2“ a umožňuje vám spustiť OpenVPN bez ďalších privilégií potrebných na spustenie obslužného programu „ip“.
Protokol pridal možnosť použitia dvojfaktorovej autentifikácie alebo dodatočnej autentifikácie cez web (SAML) bez prerušenia relácie po prvom overení (po prvom overení zostane relácia v „neoverenom“ stave a počká na druhú autentizáciu. etapa dokončiť).
Z iných zmeny, ktoré vynikajú:
- Teraz môžete v tuneli VPN pracovať iba s adresami IPv6 (predtým to nebolo možné bez zadania adries IPv4).
- Schopnosť viazať šifrovanie údajov a nastavenia zálohovania šifrovania údajov na klientov zo skriptu pripojenia klienta.
- Schopnosť určiť veľkosť MTU pre rozhranie tun / tap v systéme Windows.
Podpora výberu modulu OpenSSL na prístup k súkromnému kľúču (napr. TPM).
Voľba „–auth-gen-token“ teraz podporuje generovanie tokenov založených na HMAC. - Schopnosť používať / 31 sieťových masiek v nastaveniach IPv4 (OpenVPN sa už nepokúša nastaviť adresu vysielania).
- Pridaná možnosť „–block-ipv6“ na blokovanie ľubovoľného paketu IPv6.
- Možnosti „–ifconfig-ipv6“ a „–ifconfig-ipv6-push“ umožňujú namiesto názvu IP adresy určiť názov hostiteľa (adresu určí server DNS).
- Podpora TLS 1.3. TLS 1.3 vyžaduje minimálne OpenSSL 1.1.1. Boli pridané možnosti „–tls-ciphersuites“ a „–tls-groups“ na prispôsobenie parametrov TLS.