La nueva versión de OpenVPN 2.7 ya está lista para descargar, después de varias versiones beta y RC (Release Candidate), por fin ha salido la última versión «stable» para actualizar nuestro servidor. Este protocolo de VPN es uno de los más utilizados, tanto a nivel doméstico (lo integran routers por defecto como los ASUS, TP-Link, NETGEAR entre otras marcas), como también a nivel profesional (lo integran marcas orientadas a empresas e incluso pfSense y OPNsense entre otros). El equipo de desarrollo sigue mejorándolo, tanto a nivel de rendimiento como en seguridad, además, es compatible con cualquier sistema operativo desde Windows y Linux, pasando por macOS e incluso tenemos aplicaciones para smartphones. ¿Quieres conocer todas las novedades y mejoras de esta nueva versión?
OpenVPN 2.7 incorpora novedades para todos los sistemas operativos, pero principalmente, tenemos mejoras importantes en la implementación para sistemas operativos Windows. Lo más habitual es que tengamos un sistema Windows como cliente OpenVPN, y en un sistema Linux o Unix el servidor, pero es posible que tengas también un Windows Server donde tengas el servicio en modo servidor. Esta nueva versión es la respuesta al popular protocolo de VPN WireGuard, que es claramente más rápido que OpenVPN y proporciona una seguridad muy buena. Este lanzamiento busca reducir la diferencia en cuanto a rendimiento, a la vez que se blinda la conexión con mejoras en la seguridad.
Principales novedades
Una de las principales novedades que han incorporado en OpenVPN 2.7, es que ahora es compatible con múltiples sockets para el servidor. Esto significa que podrá gestionar múltiples direcciones, puertos y protocolos dentro de un mismo servidor OpenVPN, sin que tengamos la necesidad de levantar varios de forma simultánea, todo lo podremos hacer desde el mismo.
También se ha mejorado el soporte de los clientes a la hora de usar las opciones DNS (cuando en el cliente pedimos que nos proporcionen los DNS por parte del servidor OpenVPN). Si vas a realizar una instalación en sistemas operativos Linux, BSD o MacOS, ahora tenemos ejemplos de implementación del cliente OpenVPN de forma predeterminada, por lo que no tendremos que escribir el archivo desde cero. También tenemos una nueva implementación del cliente para Windows, añadiendo características como DNS dividido (split DNS), así como DNSSEC para añadir una capa de seguridad a las peticiones y respuestas.
Si tienes un sistema operativo Windows, la nueva versión de OpenVPN 2.7 trae todas estas novedades:
- La opción «block-local» ahora se aplica con los filtros WFP (Plataforma de Filtrado de Windows).
- Los adaptadores de red en el sistema operativo ahora se generan bajo demanda.
- El servicio automático de Windows ahora se ejecuta como un usuario sin privilegios, y no como administrador.
- La compatibilidad de win-dco ahora también está disponible en modo servidor.
- Se ha eliminado la compatibilidad con el controlador wintun, porque ahora win-dco es el controlador predeterminado ofreciendo un rendimiento hasta un 300% superior en entornos Windows Server según pruebas del equipo de OpenVPN. No obstante, tap-windows6 es la solución alternativa para casos de uso que win-dco no cubre. De todas formas, si tienes problemas, siempre podrás instalar la versión anterior de OpenVPN, aunque no podrás disfrutar de las novedades. Según benchmarks publicados en la comunidad de desarrollo de OpenVPN, win-dco ofrece un rendimiento de hasta 3,5 veces más en velocidad conseguida (desde los 150Mbps hasta los 450Mbps aproximadamente) gracias a la tecnología Data Channel Offload.
En cuanto a sistemas Linux, se ha incorporado compatibilidad con el nuevo módulo ovpn DCO del kernel Linux, ya está disponible en todas las versiones actuales, y nos proporcionará mayor velocidad. Si quieres usar versiones anteriores, está disponible en el proyecto ovpn-backports donde tenemos todo el software antiguo.
| Característica | Windows | Linux | General |
|---|---|---|---|
| Soporte DCO (Data Channel Offload). | Sí (win-dco). | Sí (módulo ovpn DCO). | Mejora clave de rendimiento |
| DNS Dividido (Split DNS) y DNSSEC. | Sí (nueva implementación). | Sí, ya estaba. | Mayor flexibilidad y seguridad en DNS |
| Rotación de claves "epoch" para AES-GCM. | Sí (con win-dco 2.8.0+). | Sí. | Seguridad mejorada del canal de datos |
| Soporte para múltiples sockets. | Sí. | Sí. | Permite gestionar múltiples IPs/puertos en un solo proceso |
| Soporte TLS 1.3. | Sí. | Sí. | Con librerías mbedTLS actualizadas |
Otras mejoras incorporadas están relacionadas con la seguridad del canal de datos del túnel de OpenVPN. La primera de ellas es que AES-GCM no se puede usar indefinidamente con la misma clave interna, existe un límite seguro de cantidad de datos que se pueden cifrar y descifrar con la misma clave, por lo que ahora OpenVPN se encargará de controlar automáticamente cuántos datos se cifran, y forzará una renegociación de las claves. Esto lo que hace es mejorar la robustez del sistema de VPN. También han incorporado un nuevo modelo criptográfico y de estructura de paquetes, para mejorar la seguridad y el control en el cifrado de lo datos, haciendo que haya claves diferentes por «épocas» de tal forma que cada «epoch» tiene su propia clave de cifrado, y se rotan automáticamente. El soporte de «epoch» está disponible también para sistemas Windows si se usa el driver win-dco 2.8.0 o superior.
0 Commentaires