自从分支2.4发布以来已经过去了四年 以及哪些次要版本已发布(错误修复和一些其他功能) OpenVPN 2.5.0版本已准备就绪。
这个新版本 带来了许多重大变化, 我们能找到的最有趣的部分与加密的更改,向IPv6的过渡以及采用新协议有关。
关于OpenVPN
对于不熟悉OpenVPN的用户,您应该知道 这是一个基于软件的免费连接工具, SSL(安全套接字层),VPN虚拟专用网。
OpenVPN的 提供点对点连接,对连接的用户和主机进行分层验证 远程地。 在Wi-Fi技术(IEEE 802.11无线网络)中,它是一个很好的选择,并支持广泛的配置,包括负载平衡。
OpenVPN是一种多平台工具,与较早且较难配置的IPsec(例如IPsec)相比,它简化了VPN的配置,并使其对这类技术的新手而言更易于访问。
OpenVPN 2.5.0的主要新功能
在最重要的更改中,我们可以发现此新版本的OpenVPN 2.5.0是 支持加密 使用流加密的数据链路 ChaCha20和算法 消息认证(MAC) Poly1305 与AES-256-CTR和HMAC相比,它们定位得更快,更安全,它们的软件实现无需使用特殊的硬件支持即可实现固定的执行时间。
La 为每个客户端提供唯一的tls-crypt密钥的能力, 它允许大型组织和VPN提供程序使用相同的TLS堆栈保护和DoS防护技术,这些技术以前在使用tls-auth或tls-crypt的小型配置中可用。
另一个重要的变化是 改进的协商加密机制 用于保护数据传输通道。 将ncp-ciphers重命名为data-cipher,以避免与tls-cipher选项产生歧义,并强调在配置数据通道密码时,首选使用data-cipher(为了兼容性,保留了旧名称)。
客户端现在使用IV_CIPHERS变量将其支持的所有数据密码的列表发送到服务器,该变量允许服务器选择与双方兼容的第一个密码。
BF-CBC加密支持已从默认设置中删除。 默认情况下,OpenVPN 2.5现在仅支持AES-256-GCM和AES-128-GCM。 可以通过使用数据加密选项来更改此行为。 升级到较新版本的OpenVPN时, BF-CBC加密 在旧的配置文件中 将转换为将BF-CBC添加到数据密码套件 并启用了数据加密备份模式。
增加了对异步身份验证的支持 (延迟)到auth-pam插件。 同样,“ – client-connect”选项和插件connect API添加了推迟返回配置文件的功能。
在Linux上,添加了对网络接口的支持 虚拟路由和转发(VRF)。 选项 提供了“ –Bind-dev”以将外部连接器放置在VRF中。
支持使用Linux内核提供的Netlink接口配置IP地址和路由。 在不带“ -enable-iproute2”选项的情况下构建时使用Netlink,并允许OpenVPN在运行“ ip”实用程序所需的附加特权的情况下运行。
该协议增加了在Web(SAML)上使用双因素身份验证或其他身份验证的能力,而无需在第一次验证后中断会话(在第一次验证后,会话保持在“未验证”状态并等待第二次验证)阶段完成)。
别人的 突出的变化:
- 现在,您只能在VPN隧道中使用IPv6地址(以前,如果不指定IPv4地址,则无法执行此操作)。
- 能够从客户端连接脚本将数据加密和备份数据加密设置绑定到客户端。
- 能够为Windows中的tun / tap界面指定MTU大小。
支持选择OpenSSL引擎来访问私钥(例如TPM)。
“ –auth-gen-token”选项现在支持基于HMAC的令牌生成。 - 能够在IPv31设置中使用/ 4个网络掩码(OpenVPN不再尝试设置广播地址)。
- 添加了“ –block-ipv6”选项以阻止任何IPv6数据包。
- “ –ifconfig-ipv6”和“ –ifconfig-ipv6-push”选项允许您指定主机名而不是IP地址(该地址将由DNS确定)。
- TLS 1.3支持。 TLS 1.3至少需要OpenSSL 1.1.1。 添加了“ –tls-ciphersuites”和“ –tls-groups”选项以调整TLS参数。