自從分支2.4發布以來已經過去了四年 以及哪些次要版本已發布(錯誤修復和一些其他功能) OpenVPN 2.5.0版本已準備就緒。
這個新版本 帶來了許多重大變化, 我們能找到的最有趣的部分與加密的更改,向IPv6的過渡以及採用新協議有關。
關於OpenVPN
對於不熟悉OpenVPN的用戶,您應該知道 這是一個基於軟件的免費連接工具, SSL(安全套接字層),VPN虛擬專用網。
OpenVPN的 提供點對點連接,對連接的用戶和主機進行分層驗證 遠程地。 在Wi-Fi技術(IEEE 802.11無線網絡)中,它是一個很好的選擇,並支持廣泛的配置,包括負載平衡。
OpenVPN是一種多平台工具,與較早且較難配置的IPsec(例如IPsec)相比,它簡化了VPN的配置,並使其對這類技術的新手而言更易於訪問。
OpenVPN 2.5.0的主要新功能
在最重要的更改中,我們可以發現此新版本的OpenVPN 2.5.0是 支持加密 使用流加密的數據鏈路 ChaCha20和算法 消息認證(MAC) Poly1305 與AES-256-CTR和HMAC相比,它們定位得更快,更安全,它們的軟件實現無需使用特殊的硬件支持即可實現固定的執行時間。
La 為每個客戶端提供唯一的tls-crypt密鑰的能力, 它允許大型組織和VPN提供程序使用相同的TLS堆棧保護和DoS防護技術,這些技術以前在使用tls-auth或tls-crypt的小型配置中可用。
另一個重要的變化是 改進的協商加密機制 用於保護數據傳輸通道。 將ncp-ciphers重命名為data-cipher,以避免與tls-cipher選項產生歧義,並強調在配置數據通道密碼時首選使用data-cipher(為了兼容性,保留了舊名稱)。
客戶端現在使用IV_CIPHERS變量將其支持的所有數據密碼的列表發送到服務器,該變量允許服務器選擇雙方都支持的第一個密碼。
BF-CBC加密支持已從默認設置中刪除。 默認情況下,OpenVPN 2.5現在僅支持AES-256-GCM和AES-128-GCM。 可以通過使用數據加密選項來更改此行為。 升級到較新版本的OpenVPN時, BF-CBC加密 在舊的配置文件中 將轉換為將BF-CBC添加到數據密碼套件 並啟用了數據加密備份模式。
增加了對異步身份驗證的支持 (延遲)到auth-pam插件。 同樣,“ – client-connect”選項和插件connect API添加了推遲返回配置文件的功能。
在Linux上,添加了對網絡接口的支持 虛擬路由和轉發(VRF)。 選項 提供了“ –Bind-dev”以將外部連接器放置在VRF中。
支持使用Linux內核提供的Netlink接口配置IP地址和路由。 在不帶“ -enable-iproute2”選項的情況下構建時使用Netlink,它使您可以運行OpenVPN而無需運行“ ip”實用程序所需的其他特權。
該協議增加了在Web(SAML)上使用雙因素身份驗證或其他身份驗證的能力,而無需在第一次驗證後中斷會話(在第一次驗證之後,會話保持在“未驗證”狀態並等待第二次驗證)階段完成)。
別人的 突出的變化:
- 現在,您只能在VPN隧道中使用IPv6地址(以前,如果不指定IPv4地址,則無法執行此操作)。
- 能夠從客戶端連接腳本將數據加密和備份數據加密設置綁定到客戶端。
- 能夠在Windows中為tun / tap界面指定MTU大小。
支持選擇OpenSSL引擎來訪問私鑰(例如TPM)。
“ –auth-gen-token”選項現在支持基於HMAC的令牌生成。 - 能夠在IPv31設置中使用/ 4個網絡掩碼(OpenVPN不再嘗試設置廣播地址)。
- 添加了“ –block-ipv6”選項以阻止任何IPv6數據包。
- “ –ifconfig-ipv6”和“ –ifconfig-ipv6-push”選項允許您指定主機名而不是IP地址(該地址將由DNS確定)。
- TLS 1.3支持。 TLS 1.3至少需要OpenSSL 1.1.1。 添加了“ –tls-ciphersuites”和“ –tls-groups”選項以調整TLS參數。