Efter nästan fyra år sedan publicering av filial 2.4 och av vilka mindre versioner släpptes (buggfixar och några ytterligare funktioner) OpenVPN 2.5.0-release bereddes.
Denna nya version kommer med många stora förändringar, varav det mest intressanta vi kan hitta är relaterat till förändringar i kryptering, samt övergången till IPv6 och antagandet av nya protokoll.
Om OpenVPN
För dem som inte känner till OpenVPN bör du veta det detta är ett gratis programvarubaserat anslutningsverktyg, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN erbjuder punkt-till-punkt-anslutning med hierarkisk validering av anslutna användare och värdar avlägset. Det är ett mycket bra alternativ inom Wi-Fi-teknik (IEEE 802.11 trådlösa nätverk) och stöder en bred konfiguration, inklusive lastbalansering.
OpenVPN är ett multiplatformsverktyg som har förenklat konfigurationen av VPN jämfört med äldre och svårare att konfigurera som IPsec och gjort det mer tillgängligt för oerfarna människor i denna typ av teknik.
De viktigaste nya funktionerna i OpenVPN 2.5.0
Av de viktigaste förändringarna kan vi hitta att den här nya versionen av OpenVPN 2.5.0 är stöder kryptering datalänk med strömkryptering ChaCha20 och algoritmen meddelandeautentisering (MAC) Poly1305 som är positionerade som snabbare och säkrare motsvarigheter till AES-256-CTR och HMAC, vars mjukvaruimplementering möjliggör fasta körtider utan användning av speciellt hårdvarustöd.
La förmåga att förse varje klient med en unik tls-crypt-nyckel, vilket gör det möjligt för stora organisationer och VPN-leverantörer att använda samma TLS-stack-skydd och DoS-förebyggande tekniker som tidigare fanns tillgängliga i små konfigurationer med tls-auth eller tls-crypt.
En annan viktig förändring är förbättrad mekanism för att förhandla om kryptering används för att skydda dataöverföringskanalen. Byt namn på ncp-chiffer till datakodare för att undvika tvetydighet med alternativet tls-chiffer och för att betona att datakoder är att föredra för att konfigurera datakanal-chiffer (det gamla namnet har behållits för kompatibilitet).
Kunder skickar nu en lista över alla datakoder som de stöder till servern med IV_CIPHERS-variabeln, vilket gör att servern kan välja den första krypteringen som är kompatibel med båda sidor.
BF-CBC-krypteringsstöd har tagits bort från standardinställningarna. OpenVPN 2.5 stöder nu bara AES-256-GCM och AES-128-GCM som standard. Detta beteende kan ändras med hjälp av alternativet för datakryptering. När du uppgraderar till en nyare version av OpenVPN, konfigurationen av BF-CBC-kryptering i gamla konfigurationsfiler kommer att konverteras för att lägga till BF-CBC till datakrypteringssviten och säkerhetskopieringsläge för datakryptering aktiverat.
Lagt till stöd för asynkron autentisering (uppskjuten) till auth-pam-plugin. På samma sätt tillfogar alternativet "–client-connect" och plugin connect API möjligheten att skjuta tillbaka konfigurationsfilen.
På Linux lades till stöd för nätverksgränssnitt virtuell routing och vidarebefordran (VRF). Alternativet "–Bind-dev" tillhandahålls för att placera en främmande kontakt i VRF.
Stöd för att konfigurera IP-adresser och rutter med hjälp av Netlink-gränssnittet som tillhandahålls av Linux-kärnan. Netlink används när det byggs utan alternativet "–enable-iproute2" och gör att OpenVPN kan köras utan de ytterligare behörigheter som krävs för att köra "ip" -verktyget.
Protokollet lade till möjligheten att använda tvåfaktorautentisering eller ytterligare autentisering över webben (SAML) utan att avbryta sessionen efter den första verifieringen (efter den första verifieringen förblir sessionen i 'oautentiserat' tillstånd och vänta på den andra autentiseringen steg att slutföra).
Av andra förändringar som sticker ut:
- Du kan nu bara arbeta med IPv6-adresser i VPN-tunneln (tidigare var det omöjligt att göra detta utan att ange IPv4-adresser).
- Möjlighet att binda inställningar för datakryptering och säkerhetskopiering av datakryptering till klienter från klientanslutningsskriptet.
- Möjlighet att ange MTU-storlek för tun / tap-gränssnittet i Windows.
Stöd för att välja OpenSSL-motorn för att komma åt den privata nyckeln (t.ex. TPM).
Alternativet "–auth-gen-token" stöder nu HMAC-baserad tokengenerering. - Möjlighet att använda / 31 nätmasker i IPv4-inställningar (OpenVPN försöker inte längre ställa in en sändningsadress).
- Lade till "–block-ipv6" för att blockera alla IPv6-paket.
- Med alternativen "–ifconfig-ipv6" och "–ifconfig-ipv6-push" kan du ange värdnamnet istället för IP-adressen (adressen bestäms av DNS).
- TLS 1.3-stöd. TLS 1.3 kräver minst OpenSSL 1.1.1. Lade till "–tls-ciphersuites" och "–tls-groups" alternativ för att justera TLS-parametrar.