Matapos ang halos apat na taon mula nang mailathala ang sangay 2.4 at kung aling mga menor de edad na bersyon ang pinakawalan (mga pag-aayos ng bug at ilang mga karagdagang tampok) Inihanda ang paglabas ng OpenVPN 2.5.0.
Ang bagong bersyon ay may maraming mga pangunahing pagbabago, na kung saan ang pinaka-kagiliw-giliw na maaari naming makita ay nauugnay sa mga pagbabago sa pag-encrypt, pati na rin ang paglipat sa IPv6 at ang pag-aampon ng mga bagong protocol.
Tungkol sa OpenVPN
Para sa mga hindi pamilyar sa OpenVPN, dapat mong malaman iyon ito ay isang libreng kasangkapan sa pagkakakonekta batay sa software, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN nag-aalok ng point-to-point na pagkakakonekta na may hierarchical pagpapatunay ng mga konektadong mga gumagamit at host malayo Ito ay isang napakahusay na pagpipilian sa mga teknolohiya ng Wi-Fi (IEEE 802.11 wireless network) at sumusuporta sa isang malawak na pagsasaayos, kabilang ang pag-balancing sa load.
Ang OpenVPN ay isang tool na multiplatform na pinasimple ang pagsasaayos ng mga VPN kumpara sa mas matanda at mas mahirap i-configure tulad ng IPsec at ginagawang mas madaling ma-access para sa mga walang karanasan na tao sa ganitong uri ng teknolohiya.
Pangunahing mga bagong tampok ng OpenVPN 2.5.0
Sa pinakamahalagang mga pagbabago maaari naming makita na ang bagong bersyon ng OpenVPN 2.5.0 na ito ay sumusuporta sa pag-encrypt datalink gamit ang pag-encrypt ng stream ChaCha20 at ang algorithm pagpapatotoo ng mensahe (MAC) Poly1305 na nakaposisyon bilang mas mabilis at mas ligtas na mga katapat ng AES-256-CTR at HMAC, na ang pagpapatupad ng software ay nagbibigay-daan upang makamit ang naayos na mga oras ng pagpapatupad nang walang paggamit ng espesyal na suporta sa hardware.
La kakayahang magbigay sa bawat kliyente ng isang natatanging key ng tls-crypt, na nagpapahintulot sa mga malalaking organisasyon at tagapagbigay ng VPN na gumamit ng parehong proteksyon ng TLS stack at mga diskarte sa pag-iwas sa DoS na dating magagamit sa maliliit na pagsasaayos gamit ang tls-auth o tls-crypt.
Ang isa pang mahalagang pagbabago ay ang pinabuting mekanismo upang makipag-ayos sa pag-encrypt ginamit upang maprotektahan ang channel ng paghahatid ng data. Pinalitan ang pangalan ng ncp-ciphers sa mga data-cipher upang maiwasan ang kalabuan sa pagpipilian ng tls-cipher at upang bigyang-diin na ang mga data-cipher ay ginustong para sa pag-configure ng mga data channel cipher (ang dating pangalan ay napanatili para sa pagiging tugma)
Nagpadala ngayon ang mga kliyente ng isang listahan ng lahat ng mga data cipher na sinusuportahan nila sa server gamit ang variable na IV_CIPHERS, na nagpapahintulot sa server na piliin ang unang pag-encrypt na sinusuportahan ng magkabilang panig.
Ang suporta sa BF-CBC na naka-encrypt ay tinanggal mula sa mga default na setting. Sinusuportahan lamang ngayon ng OpenVPN 2.5 ang AES-256-GCM at AES-128-GCM bilang default. Ang pag-uugali na ito ay maaaring mabago sa pamamagitan ng paggamit ng pagpipiliang pag-encrypt ng data. Kapag nag-a-upgrade sa isang mas bagong bersyon ng OpenVPN, ang pagsasaayos ng Pag-encrypt ng BF-CBC sa mga lumang file ng pagsasaayos ay mai-convert upang idagdag ang BF-CBC sa data cipher suite at pinagana ang backup mode ng pag-encrypt ng data.
Nagdagdag ng suporta para sa asynchronous na pagpapatotoo (ipinagpaliban) sa auth-pam plugin. Katulad nito, ang pagpipiliang "–client-connect-" at ang plugin na kumonekta sa API ay nagdagdag ng kakayahang ipagpaliban ang pagbabalik ng file ng pagsasaayos.
Sa Linux, idinagdag ang suporta para sa mga interface ng network virtual na pagruruta at pagpapasa (VRF). Ang pagpipilian "–Bind-dev" ay ibinigay upang ilagay ang isang banyagang konektor sa VRF.
Suporta para sa pag-configure ng mga IP address at ruta gamit ang interface ng Netlink na ibinigay ng Linux kernel. Ginagamit ang Netlink kapag itinayo nang walang pagpipiliang "–enable-iproute2" at pinapayagan kang patakbuhin ang OpenVPN nang walang mga karagdagang pribilehiyo na kinakailangan upang patakbuhin ang "ip" na utility.
Ang protokol ay nagdagdag ng kakayahang gumamit ng two-factor authentication o karagdagang pagpapatotoo sa Web (SAML), nang hindi nagagambala ang sesyon pagkatapos ng unang pag-verify (pagkatapos ng unang pag-verify, ang session ay mananatili sa estado na 'hindi napatunayan' at maghintay para sa pangalawang pagpapatotoo yugto upang makumpleto).
Ng iba mga pagbabago na namumukod-tangi:
- Maaari ka lamang magtrabaho sa mga IPv6 address sa loob ng VPN tunnel (dati imposibleng gawin ito nang hindi tinutukoy ang mga IPv4 address).
- Kakayahang magbuklod ng mga pag-encrypt ng data at mga setting ng pag-encrypt ng backup na data sa mga kliyente mula sa script ng koneksyon ng client.
- Kakayahang tukuyin ang laki ng MTU para sa interface ng tun / tap sa Windows.
Suporta para sa pagpili ng OpenSSL engine upang ma-access ang pribadong key (hal. TPM).
Sinusuportahan na ngayon ng opsyong "–auth-gen-token" na pagbuo ng token na nakabatay sa HMAC. - Kakayahang gamitin / 31 netmasks sa mga setting ng IPv4 (Hindi na sinusubukan ng OpenVPN na magtakda ng isang broadcast address).
- Nagdagdag ng pagpipiliang "–block-ipv6" upang harangan ang anumang packet ng IPv6.
- Ang mga pagpipiliang "–ifconfig-ipv6" at "–ifconfig-ipv6-push" ay nagbibigay-daan sa iyo upang tukuyin ang host name sa halip na ang IP address (ang address ay matutukoy ng DNS).
- Suporta ng TLS 1.3. Nangangailangan ang TLS 1.3 ng hindi bababa sa OpenSSL 1.1.1. Nagdagdag ng mga pagpipilian na "–tls-ciphersuite" at "–tls-group" upang ayusin ang mga parameter ng TLS.