Після майже чотирьох років з моменту публікації гілки 2.4 і з яких випускались незначні версії (виправлення помилок та деякі додаткові функції) Підготовлено випуск OpenVPN 2.5.0.
Ця нова версія має багато основних змін, з яких найцікавіше, що ми можемо знайти, пов’язане із змінами в шифруванні, а також переходом до IPv6 та прийняттям нових протоколів.
Про OpenVPN
Тим, хто не знайомий з OpenVPN, ви повинні це знати це безкоштовний інструмент підключення на основі програмного забезпечення, SSL (рівень захищених сокетів), віртуальна приватна мережа VPN.
OpenVPN пропонує точкове з'єднання з ієрархічною перевіркою підключених користувачів та хостів віддалено. Це дуже хороший варіант у технологіях Wi-Fi (бездротові мережі IEEE 802.11) і підтримує широку конфігурацію, включаючи балансування навантаження.
OpenVPN - це мультиплатформенний інструмент, який спростив конфігурацію VPN у порівнянні зі старими і складнішими в налаштуванні, наприклад, IPsec, і робить його більш доступним для недосвідчених людей у цьому виді технологій.
Основні нові можливості OpenVPN 2.5.0
З найважливіших змін ми можемо виявити, що ця нова версія OpenVPN 2.5.0 є підтримує шифрування datalink за допомогою шифрування потоку ChaCha20 та алгоритм автентифікація повідомлень (MAC) Poly1305 які позиціонуються як швидші та безпечніші аналоги AES-256-CTR та HMAC, програмна реалізація яких дозволяє досягти фіксованого часу виконання без використання спеціальної апаратної підтримки.
La можливість надати кожному клієнту унікальний ключ tls-crypt, що дозволяє великим організаціям та постачальникам VPN використовувати ті самі методи захисту стека TLS та DoS, які раніше були доступні у невеликих конфігураціях із використанням tls-auth або tls-crypt.
Інша важлива зміна - вдосконалений механізм узгодження шифрування використовується для захисту каналу передачі даних. Перейменовано ncp-шифри на data-ciphers, щоб уникнути двозначності з параметром tls-cipher та наголосити, що data-ciphers є кращим для налаштування шифрів каналу даних (стара назва збережена для сумісності).
Тепер клієнти надсилають на сервер список усіх підтримуваних ними шифрів даних за допомогою змінної IV_CIPHERS, що дозволяє серверу вибрати перший шифр, сумісний з обома сторонами.
Підтримка шифрування BF-CBC була вилучена із налаштувань за замовчуванням. Зараз OpenVPN 2.5 за замовчуванням підтримує лише AES-256-GCM та AES-128-GCM. Цю поведінку можна змінити за допомогою опції шифрування даних. Під час оновлення до нової версії OpenVPN конфігурація Шифрування BF-CBC у старих файлах конфігурації буде перетворено для додавання BF-CBC до набору шифру даних і ввімкнено режим резервного копіювання даних.
Додана підтримка асинхронної автентифікації (відкладено) до плагіна auth-pam. Подібним чином, опція «–client-connect» та API підключення плагіна додали можливість відкласти повернення файлу конфігурації.
У Linux була додана підтримка мережевих інтерфейсів віртуальна маршрутизація та переадресація (VRF). Варіант «–Bind-dev» передбачений для розміщення зовнішнього роз’єму у VRF.
Підтримка налаштування IP-адрес та маршрутів за допомогою інтерфейсу Netlink, наданого ядром Linux. Netlink використовується при побудові без опції «–enable-iproute2» і дозволяє OpenVPN працювати без додаткових привілеїв, необхідних для запуску утиліти «ip».
Протокол додав можливість використовувати двофакторну автентифікацію або додаткову автентифікацію через Інтернет (SAML), не перериваючи сеанс після першої перевірки (після першої перевірки сеанс залишається у стані `` неаутентифікований '' і чекає другої автентифікації етап завершити).
З інших помітні зміни:
- Тепер ви можете працювати лише з адресами IPv6 у тунелі VPN (раніше це було неможливо зробити, не вказавши адреси IPv4).
- Можливість прив’язки параметрів шифрування даних та резервного копіювання даних до клієнтів за допомогою сценарію підключення клієнта.
- Можливість вказати розмір MTU для інтерфейсу tun / tap в Windows.
Підтримка вибору механізму OpenSSL для доступу до закритого ключа (наприклад, TPM).
Опція "–auth-gen-token" тепер підтримує генерацію токенів на основі HMAC. - Можливість використання / 31 мережевих масок у налаштуваннях IPv4 (OpenVPN більше не намагається встановити широкомовну адресу).
- Додана опція "–block-ipv6" для блокування будь-якого пакета IPv6.
- Параметри «–ifconfig-ipv6» та «–ifconfig-ipv6-push» дозволяють вказати ім’я хоста замість IP-адреси (адреса визначатиметься за допомогою DNS).
- Підтримка TLS 1.3. TLS 1.3 вимагає принаймні OpenSSL 1.1.1. Додані опції «–tls-ciphersuites» та «–tls-groups» для налаштування параметрів TLS.