E foi lançado o OpenVPN 2.6 com muitas mudanças e algumas melhorias. Confira todas as novidades dessa importante atualização.
OpenVPN é uma ferramenta de conectividade baseada em software livre, SSL (Secure Sockets Layer), VPN Virtual Private Network (rede privada virtual).
O OpenVPN oferece conectividade ponto a ponto com validação hierárquica de usuários e hosts conectados remotamente. É uma opção muito boa em tecnologias Wi-Fi (redes sem fio IEEE 802.11) e suporta uma ampla configuração, incluindo balanceamento de carga.
O OpenVPN é uma ferramenta multiplataforma que simplificou a configuração de VPNs em comparação com as mais antigas e difíceis de configurar como o IPsec, e a tornou mais acessível para pessoas inexperientes nesse tipo de tecnologia.
Agora, depois de dois anos e meio desde a publicação da ramificação 2.5, foi anunciado o lançamento da nova versão do OpenVPN 2.6.0.
Novidades do OpenVPN 2.6
Na nova versão, destaca-se que o módulo do kernel ovpn-dco está incluído no pacote, o que pode acelerar significativamente o desempenho da VPN.
A aceleração é obtida movendo todas as operações de criptografia, processamento de pacotes e gerenciamento de canais de comunicação para o lado do kernel do Linux, o que permite eliminar a sobrecarga associada à troca de contexto, permite otimizar o trabalho acessando diretamente o kernel, além da API, e elimina a transferência lenta de dados entre o kernel e o espaço do usuário (o módulo executa criptografia, descriptografia e roteamento sem enviar tráfego para um controlador de espaço do usuário).
Nos testes realizados, em comparação com a configuração baseada na interface tun, o uso do módulo no lado do cliente e do lado do servidor usando a criptografia AES-256-GCM permitiu alcançar um aumento de desempenho de 8 vezes (de 370 Mbit/s a 2950 Mbit/s).
Ao usar o módulo apenas no lado do cliente, o desempenho aumentou três vezes para o tráfego de saída e não mudou para o tráfego de entrada. Ao usar o módulo apenas no lado do servidor, o desempenho aumentou 4 vezes para o tráfego de entrada e 35% para o tráfego de saída.
Outra mudança notável na nova versão é a capacidade de usar o modo TLS com certificados autoassinados (ao usar a opção “–peer-fingerprint”, você pode omitir os parâmetros “–ca” e “–capath”) e dispensar iniciar um servidor PKI baseado em Easy-RSA ou software similar).
Além disso, também é observado que o servidor UDP implementa um modo de negociação de conexão baseado em cookie que usa um cookie baseado em HMAC como um identificador de sessão, o que permite que o servidor execute a verificação sem estado.
Por outro lado, adicionou suporte para compilação com a biblioteca OpenSSL 3.0, além de adicionar a opção “–tls-cert-profile insecure” para selecionar o nível mínimo de segurança OpenSSL.
Também podemos descobrir que novos comandos de controle remote-entry-count e remote-entry-get foram adicionados para contar o número de conexões externas e enumerá-las.
No processo de negociação de chaves, o mecanismo EKM (Exported Keying Material, RFC 5705) é agora um método de prioridade mais alta para obter material de geração de chaves, em vez do mecanismo OpenVPN PRF específico. EKM requer a biblioteca OpenSSL ou mbed TLS 2.18+.
O suporte para OpenSSL é fornecido no modo FIPS, permitindo que o OpenVPN seja usado em sistemas que atendem aos requisitos de segurança do FIPS 140-2.
Das outras mudanças que se destacam no OpenVPN 2.6, temos:
- mlock implementa a verificação de alocação de memória suficiente. Se menos de 100 MB de RAM estiverem disponíveis, setrlimit() será chamado para aumentar o limite.
- Adicionada a opção “
--peer-fingerprint
” para validar ou vincular o certificado por impressão digital com base no hash SHA256, sem usar tls-verify. - Para scripts, a autenticação preguiçosa é fornecida, implementada pela opção “–auth-user-pass-verify”. Adicionado suporte para informar o cliente sobre autenticação pendente ao usar autenticação atrasada em scripts e plugins.
- Adicionado modo de compatibilidade (–compat-mode) para permitir a conexão com servidores mais antigos executando OpenVPN 2.3.x ou anterior.
Para saber mais sobre essa versão do OpenVPN, acesse a nota de lançamento.
Como instalar ou atualizar o OpenVPN
Para instalar a versão mais recente do OpenVPN nas principais distribuições Linux, use esse tutorial:
Como instalar o gerenciador de configuração OpenVPN eOVPN no Linux via Flatpak