2.4 numaralı şubenin yayınlanmasından bu yana yaklaşık dört yıl sonra ve hangi küçük sürümlerin piyasaya sürüldüğü (hata düzeltmeleri ve bazı ek özellikler) OpenVPN 2.5.0 sürümü hazırlandı.
Bu yeni versiyon birçok önemli değişiklikle birlikte gelir, bulabildiğimiz en ilginç olanı, şifrelemedeki değişikliklerin yanı sıra IPv6'ya geçiş ve yeni protokollerin benimsenmesiyle ilgili.
OpenVPN hakkında
OpenVPN'e aşina olmayanlar için şunu bilmelisiniz: bu ücretsiz bir yazılım tabanlı bağlantı aracıdır, SSL (Güvenli Yuva Katmanı), VPN Sanal Özel Ağ.
OpenVPN bağlı kullanıcıların ve ana bilgisayarların hiyerarşik doğrulaması ile noktadan noktaya bağlantı sunar uzaktan. Wi-Fi teknolojilerinde (IEEE 802.11 kablosuz ağlar) çok iyi bir seçenektir ve yük dengeleme dahil olmak üzere geniş bir yapılandırmayı destekler.
OpenVPN, VPN'lerin yapılandırmasını eskisine kıyasla basitleştiren ve IPsec gibi yapılandırması daha zor olan ve bu tür teknolojide deneyimsiz kişiler için daha erişilebilir hale getiren çok platformlu bir araçtır.
OpenVPN 2.5.0'ın başlıca yeni özellikleri
En önemli değişikliklerden, OpenVPN 2.5.0'ın bu yeni sürümünün şifrelemeyi destekler akış şifreleme kullanan veri bağlantısı ChaCha20 ve algoritma mesaj kimlik doğrulaması (MAC) Poly1305 AES-256-CTR ve HMAC'ın daha hızlı ve daha güvenli muadilleri olarak konumlandırılan, yazılım uygulaması özel donanım desteği kullanılmadan sabit yürütme süreleri elde etmeyi sağlar.
La her müşteriye benzersiz bir tls-crypt anahtarı sağlama yeteneği, Bu, büyük kuruluşların ve VPN sağlayıcılarının, tls-auth veya tls-crypt kullanan küçük yapılandırmalarda daha önce mevcut olan TLS yığın korumasını ve DoS önleme tekniklerini kullanmasına olanak tanır.
Bir diğer önemli değişiklik de şifrelemeyi görüşmek için geliştirilmiş mekanizma veri aktarım kanalını korumak için kullanılır. Tls-cipher seçeneğiyle belirsizliği önlemek ve veri kanalı şifrelerini yapılandırmak için veri şifrelerinin tercih edildiğini vurgulamak için ncp-ciphers, veri şifreleri olarak yeniden adlandırıldı (eski ad uyumluluk için saklandı).
İstemciler artık destekledikleri tüm veri şifrelerinin bir listesini IV_CIPHERS değişkenini kullanarak sunucuya göndererek sunucunun her iki tarafla uyumlu olan ilk şifreyi seçmesine olanak tanır.
BF-CBC şifreleme desteği varsayılan ayarlardan kaldırıldı. OpenVPN 2.5 artık varsayılan olarak yalnızca AES-256-GCM ve AES-128-GCM'yi desteklemektedir. Bu davranış, veri şifreleme seçeneği kullanılarak değiştirilebilir. OpenVPN'in daha yeni bir sürümüne yükseltirken, BF-CBC şifreleme eski konfigürasyon dosyalarında veri şifreleme paketine BF-CBC eklemek için dönüştürülecek ve veri şifreleme yedekleme modu etkinleştirildi.
Eşzamansız kimlik doğrulama desteği eklendi auth-pam eklentisine (ertelendi). Benzer şekilde, "–client-connect" seçeneği ve eklenti bağlantı API'si, yapılandırma dosyasını geri döndürmeyi erteleme yeteneği ekledi.
Linux'ta ağ arayüzleri desteği eklendi sanal yönlendirme ve yönlendirme (VRF). Seçenek "–Bind-dev" VRF'ye yabancı bir bağlayıcı yerleştirmek için sağlanmıştır.
Linux çekirdeği tarafından sağlanan Netlink arabirimini kullanarak IP adreslerini ve yollarını yapılandırma desteği. Netlink, "–enable-iproute2" seçeneği olmadan oluşturulduğunda kullanılır ve OpenVPN'in "ip" yardımcı programını çalıştırmak için gereken ek ayrıcalıklar olmadan çalışmasına izin verir.
Protokol, ilk doğrulamadan sonra oturumu kesintiye uğratmadan iki faktörlü kimlik doğrulama veya Web üzerinden ek kimlik doğrulama (SAML) kullanma yeteneği ekledi (ilk doğrulamadan sonra, oturum 'kimliği doğrulanmamış' durumda kalır ve ikinci kimlik doğrulamasını bekler) tamamlanması için aşama).
Diğerleri öne çıkan değişiklikler:
- Artık yalnızca VPN tüneli içindeki IPv6 adresleriyle çalışabilirsiniz (önceden IPv4 adreslerini belirtmeden bunu yapmak imkansızdı).
- İstemci bağlantı komut dosyasından veri şifreleme ve yedekleme veri şifreleme ayarlarını istemcilere bağlama yeteneği.
- Windows'ta ayarlama / dokunma arabirimi için MTU boyutunu belirleme yeteneği.
Özel anahtara erişmek için OpenSSL motorunu seçme desteği (ör. TPM).
"–Auth-gen-token" seçeneği artık HMAC tabanlı belirteç oluşturmayı desteklemektedir. - IPv31 ayarlarında / 4 ağ maskesi kullanma yeteneği (OpenVPN artık bir yayın adresi ayarlamaya çalışmamaktadır).
- Herhangi bir IPv6 paketini engellemek için "–block-ipv6" seçeneği eklendi.
- "–İfconfig-ipv6" ve "–ifconfig-ipv6-push" seçenekleri, IP adresi yerine ana bilgisayar adını belirtmenize izin verir (adres DNS tarafından belirlenecektir).
- TLS 1.3 desteği. TLS 1.3, en az OpenSSL 1.1.1 gerektirir. TLS parametrelerini ayarlamak için "–tls-ciphersuites" ve "–tls-groups" seçenekleri eklendi.