Software-update: OpenVPN 2.4.9

OpenVPN logo (79 pix)OpenVPN is een robuuste en gemakkelijk in te stellen opensource-vpn-daemon waarmee verschillende private networks aan elkaar geknoopt kunnen worden door middel van een encrypted tunnel via internet. Voor de beveiliging wordt gebruikgemaakt van de OpenSSL-library, waarmee alle encryptie, authenticatie en certificatie kunnen worden afgehandeld. De ontwikkelaars hebben versie 2.4.9 uitgebracht, met de volgende veranderingen:

New features
  • Allow unicode search string in --cryptoapicert option (Windows)
User visible changes
  • Skip expired certificates in Windows certificate store (Windows) (trac #966)
  • OpenSSL: Fix --crl-verify not loading multiple CRLs in one file (trac #623)
  • When using "--auth-user-pass file" with just a username and no password in the file, OpenVPN now queries the management interface (if active) for the credentials. Previously it would query the console for the password, and fail if no console available (normal case on Windows) (trac #757)
  • Swap the order of checks for validating interactive service user (Windows: check config location before querying domain controller for group membership, which can be slow)
Bug fixes
  • fix condition where a client's session could "float" to a new IP address that is not authorized ("fix illegal client float").
  • This can be used to disrupt service to a freshly connected client (no session keys negotiated yet). It can not be used to inject or steal VPN traffic. CVE-2020-11810, trac #1272).
  • fix combination of async push (deferred auth) and NCP (trac #1259)
  • Fix OpenSSL 1.1.1 not using auto elliptic curve selection (trac #1228)
  • Fix OpenSSL error stack handling of tls_ctx_add_extra_certs
  • mbedTLS: Make sure TLS session survives move (trac #880)
  • Fix OpenSSL private key passphrase notices
  • Fix building with --enable-async-push in FreeBSD (trac #1256)
  • Fix broken fragmentation logic when using NCP (trac #1140)

OpenVPN

Versienummer 2.4.9
Releasestatus Final
Besturingssystemen Windows 7, Linux, macOS, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016
Website OpenVPN
Download https://openvpn.net/community-downloads/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 19-04-2020 10:02
53 • submitter: Munchie

19-04-2020 • 10:02

53

Submitter: Munchie

Bron: OpenVPN

Update-historie

03-04 OpenVPN 2.6.14 0
15-01 OpenVPN 2.6.13 28
07-'24 OpenVPN 2.6.12 22
06-'24 OpenVPN 2.6.11 0
03-'24 OpenVPN 2.6.10 3
02-'24 OpenVPN 2.6.9 0
11-'23 OpenVPN 2.6.8 9
11-'23 OpenVPN 2.6.7 1
08-'23 OpenVPN 2.6.6 38
06-'23 OpenVPN 2.6.5 2
Meer historie

Lees meer

OpenVPN

geen prijs bekend

Systeem- en netwerkutility's

Reacties (53)

-Moderatie-faq
53
44
40
3
0
2
Wijzig sortering
Verwijderd @Prysm Software19 april 2020 11:23
OpenVPN gebruik ik primair om van buitenaf bij mijn interne thuisnetwerk te kunnen komen waar ik bijvoorbeeld Pihole heb draaien.

Daarnaast heb ik het ook bij mijn vriendin geïnstalleerd. Zij maakt namelijk vaak gebruik van openbare wifinetwerken. Via OpenVPN wordt de verbinding dan versleuteld.

Daarnaast wil ik niet afhankelijk zijn van een VPN-provider. Je weet eigenlijk nooit hoe ze daar omgaan met je data en of ze plotseling stoppen met de dienstverlening. Met een eigen OpenVPN-server heb je het zelf in de hand.
Tr1pke @Verwijderd19 april 2020 11:51
Probeer eens WireGuard je kan hem naast OpenVPN gebruiken
snoopdoge90 @Tr1pke19 april 2020 13:20
OpenVPN is prima voor productiegebruik. Zie geen reden om WireGuard nog eens naast OpenVPN te draaien. De meeste willen hier gewoon een werkende en veilige en stabiele VPN server. Dan is OpenVPN een prima keus. Wireguard is veelbelovend maar er wordt nog flink aan gesleuteld. Qua veiligheid is Wireguard nog niet geaudit, en qua stabiliteit is er geen garantie vanwege de ontwikkelfase waarin de software zich op dit moment bevind.

Overigens een kleine edit. Momenteel heeft WireGuard een dik voordeel op performance. Merk daarbij wel het volgende op:
  • WireGuard gebruikt TUN drivers. OpenVPN kan ook gebruikt worden met experimentele wintun drivers (welke eigenlijk WireGuard afgeleide werk is). Met deze wintun drivers voor OpenVPN komt de doorvoersnelheid en latency erg dichtbij WireGuard.
  • Een veel gebruikte argument waarom WireGuard beter zou zijn t.o.v. OpenVPN is de compactere codebasis met veel minder code. Echter dit vind ik geen eerlijke vergelijking. OpenVPN heeft naast legacy code ook veel meer functionaliteit zoals TAP drivers en data transport over TCP.
  • OpenVPNs ondersteuning voor TAP drivers maakt layer 2 netwerk functionaliteiten beschikbaar voor geavanceerdere configuraties, zoals netwerk bridges en UDP broadcasting door applicaties door de VPN tunnel heen. TUN drivers doen dit niet omdat ze op layer 3 werken.
  • WiredGuard werkt met het UDP protocol. OpenVPN ondersteund VPN over TCP, en daarmee dus ook over poort 443/TCP. TCP is veel stabieler maar levert in op snelheid. De stabiliteit is inherent aan het protocol. Waar TCP rekening houdt met packet loss doet UDP het niet. Samen met poort 443 kun je dus ook netwerkbeperkingen omzeilen omdat HTTP(S) verkeer op poort 80 en 443 meestal toegestaan wordt. Erg geschikt dus voor netwerken met een onstabiele verbinding of beperkingen, bijvoorbeeld in het buitenland of publieke WiFi netwerken!
  • WireGuard ondersteund momenteel ook data over TCP maar dit is iets slordiger dan de OpenVPN implementatie. De implementatie van WireGuard is eigenlijk gewoon UDP verpakt in TCP packages. WireGuard TCP is dus ook significant langzamer dan OpenVPN TCP.
Ik zelf ben overgestapt van IPsec IKEv2 naar OpenVPN. Nog niet overgestapt naar WireGuard omdat het nog niet toereikend is qua functionaliteit, en de stabiliteit en veiligheid niet kan garanderen. OpenVPN is echter wel meer resource intensief vergeleken met WireGuard en IPsec IKEv2 en dit moet je afwegen als je een VPN server wilt draaien in een homelab omgeving met lichtgewicht hardware (bijvoorbeeld op een Pi of op een non-enterprise router / gateway). IPsec IKEv2 en OpenVPN zijn beide theoretisch veilig protocollen en geaudit, maar in het geval van IPsec met IKEv2 geen garantie vanwege de vendor implementatie (zie Snowden leaks). IPsec IKEv2 wordt vrijwel out of the box ondersteund door alle desktop clients, OpenVPN vereist een aparte client app voor zowel desktop als mobiel. Echter, qua troubleshooting en configuratiegemak voor zowel client als server ligt OpenVPN mijlen ver voor op IPsec dat een aparte app installeren niet het probleem meer is.

De keuze voor VPN software is dus zeker specifiek aan de usecase en allen hebben ze hun eigen bestaansrecht. Kies er een wat het best aansluit aan je wensen.

[Reactie gewijzigd door snoopdoge90 op 23 juli 2024 20:47]

johanvdw @snoopdoge9019 april 2020 23:47
• WiredGuard werkt met het UDP protocol. OpenVPN ondersteund VPN over TCP, en daarmee dus ook over poort 443/TCP. TCP is veel stabieler maar levert in op snelheid. De stabiliteit is inherent aan het protocol. Waar TCP rekening houdt met packet loss doet UDP het niet. Samen met poort 443 kun je dus ook netwerkbeperkingen omzeilen omdat HTTP(S) verkeer op poort 80 en 443 meestal toegestaan wordt. Erg geschikt dus voor netwerken met een onstabiele verbinding of beperkingen, bijvoorbeeld in het buitenland of publieke WiFi netwerken!
Dat je over poort 443 een verbinding met beperkingen kan omzeilen klopt. Dat TCP echter beter is voor VPN klopt helemaal niet. Je gaat dan immers op meerdere lagen beginnen met fout aangekomen paketten opnieuw op te vragen en versturen, wat je juist niet wil als je een slechte verbinding hebt: TCP meltdown: https://openvpn.net/faq/what-is-tcp-meltdown/
snoopdoge90 @johanvdw20 april 2020 01:43
Dank je voor je bijdrage. Maar even om de eer bij mijzelf te houden, nergens beweer ik mijn post dat een TCP tunnel beter is. TCP verkeer over een UDP tunnel doet namelijk gewoon nog zijn stateful werking. UDP blijft de defacto standaard en technisch gezien is UDP het protocol van voorkeur voor VPN tunnels. Pas als de betrouwbaarheid van een UDP tunnel niet toereikend is, is een TCP tunnel te overwegen. Denk maar aan casussen waar je afhankelijk bent van layer 2 functionaliteiten of UDP verkeer (DNS, NETBIOS, syslog, en meer). Je komt dit soort UDP verkeer nog vaak zat tegen doordat veel programmatuur uitgaat van het stabiele karakter van een LAN netwerk. Nadeel is dan wel dat TCP verkeer over de tunnel het door jou aangehaalde TCP meltdown veroorzaakt, wat resulteert in significant hogere latencies en lagere doorvoersnelheden. Welke overigens dan deels gemitigeerd kan worden door met de MTU waarden te spelen, maar het probleem is er natuurlijk nog steeds.

Het is en blijft een afweging die je zelf moet maken omdat VPN sowieso niet lekker speelt met onbetrouwbare verbindingen. Ben zelf niet bekend met bestaande oplossingen die het TCP meltdown problemen helemaal oplossen, maar packet encapsulation en het gebruik van raptor codes zijn besproken oplossingen om het meltdown probleem te mitigeren.

Maar verder wil ik er eigenlijk niet te diep in gaan. Het punt was eigenlijk dat de keuze voor VPN software (en de configuratie ervan) zeer afhankelijk is van de situatie en usecase. Dus ook de keuze van een TCP tunnel over een UDP tunnel mocht dat nodig zijn, en dat doet OpenVPN net wat beter dan de WireGuard implementatie. Ik merk zelf dat WireGuard steeds meer als de heilige graal wordt gezien en aangeprezen. Hoewel ik het project zelf ook met enthousiasme volg, WireGuard is haar huidige staat erg beperkt qua functionaliteit vergeleken met OpenVPN en IPsec VPN - en daarmee zeker niet toereikend in complexere omgevingen.

[Reactie gewijzigd door snoopdoge90 op 23 juli 2024 20:47]

Videopac @snoopdoge9019 april 2020 16:33
Goede argumenten. En een goede router/firewall met hardwarematige AES ondersteuning hoeft niet duur te zijn: voor zo’n 200 euro heb je een zuinige Odroid H2. OPNsense erop en je bent klaar.
Verwijderd @Tr1pke19 april 2020 19:04
Ik ben misschien wat eigenwijs, maar ik verander niet zo snel als iets goed bevalt en het nog aan mijn eisen voldoet. Tot nog toe draait het hier prima en ook qua veiligheid voldoet het nog.
Joao @Verwijderd19 april 2020 17:23
Draai je naast Pi-hole ook dnscrypt-proxy? :-)
https://www.itchy.nl/rasp...-openvpn-pihole-dnscrypt/
Verwijderd @Joao19 april 2020 19:02
Jep, die draai ik er ook naast :)
jeanj @Prysm Software19 april 2020 11:10
ISP zijn onveilig, er zijn gevallen bekend dat ze het netwerk verkeer manipuleren en je gegevens door verkopen. Je zou altijd met een VPN moeten surfen. Nadeel is dat de VPN provider die rol (van misbruik) dan over kan nemen
Prysm Software @jeanj19 april 2020 11:37
Op tweakers forum lees ik juist
Andere dingen. Dat privé netwerk thuis gewoon veilig zijn. (Weet zelf ook wel dat isp alles zien wat je doet.)
pennywiser @Prysm Software19 april 2020 13:44
Met een eigen vpn ziet je isp dus niet alles wat je doet. Ok, ze zien dat je *iets doet.
Edgarz @jeanj19 april 2020 11:52
Da's dus een kwestie van door de kat of de hond gebeten worden.

Lijkt mij dat een NL provider sneller/beter aangesproken kan worden dan een VPN provider die in het buitenland verblijft en onbereikbaar is...
TheekAzzaBreek @Edgarz19 april 2020 22:13
Behalve als die vpn provider een strikte no logs policy heeft.
Een bedrijf waarvoor privacy een business model is zal je misschien wat meer vertrouwen. 100% garantie is e nooit, natuurlijk.
TheekAzzaBreek @Prysm Software19 april 2020 10:57
Nee, ISP's zijn niet veilig.

Bij de meeste organisaties is VPN vereist om van buiten het netwerk op te mogen. Wij gebruiken het ook om in-house ontwikkel- en testomgevingen af te schermen.
Tokkes @TheekAzzaBreek20 april 2020 02:54
Bij de meeste organisaties is VPN vereist om van buiten het netwerk op te mogen.
Heeft weinig met ISP's te maken en veel meer met controlled access naar het bedrijfsnetwerk toe en eventuele (internet)onveilige protocols die gebruikt worden binnenin dat netwerk.Authenticatie dmv credentials en keys enz. Dat je ontwikkel en test-omgevingen afschermt van het publiek is niet meer dan normaal, daar zitten immers misschien bugs en exploits in en meestal zijn debug outputs ingeschakeld die meer inzicht verlenen in je applicatie dan je publiek zou willen maken.
Hann1BaL @Prysm Software19 april 2020 10:35
Ik gebruik OpenVPN simpelweg om op mijn interne systemen te komen zodat ik niet alles open op internet hoef te gooien wat beveiliging risico's minimaliseert.

Met andere woorden : Nu niet je eerst op vpn komen en dan pas kun je de systemen bereiken. En dit is een allerlei van web fronts, RDP etc
Ferruginous Hwk @Prysm Software19 april 2020 11:39
Zijn de eigen ISP''s veilig genoeg? Baude uitspraak.

Ik gebruik VPN's vooral om mijn echte wereld en mijn virtuele wereld zoveel mogelijk te spreiden.
Zo mag mijn ISP weten waar ik woon en wat voor diensten ik gebruik. Waarvoor ik ze gebruik vind ik weer net iets teveel onnodige kennis voor ze.
Daar gebruik ik een VPN voor. Die VPN-provider weet mogelijk wat mijn echte IP-adres is en wat ik doe op het internet maar weer niet (precies) waar ik woon. Dat weet alleen mijn ISP.

Ik doe dit omdat ik overtuigd ben van 2 zaken rondom data.
1. Data lekt een keer.
2. Data gaat gebruikt worden waar het niet voor bedoeld is.

Aangezien ik die impact nu niet kan overzien kies ik het zekere voor het onzekere.. ;)
NielsFL @Prysm Software19 april 2020 11:58
Zodat je kunt inloggen op een ander netwerk. Veilig of niet, de meeste netwerken zijn niet publiekelijk toegankelijk.

In veel gevallen is het zelfs niet mogelijk om een netwerk publiekelijk toegankelijk te maken door een gebrek aan IPv4 adressen en het ontbreken van IPv6.
rinkel @Prysm Software19 april 2020 13:29
Als je thuis een VPN-server draait, kun je altijd via VPN bij je gegevens/servers/camera's die thuis draaien, waar je ook bent.
Je kunt een VPN client op je telefoon installeren en vervolgens een verbinding maken met Thuis. Dit is veel veiliger dan een NAS of Camera open zetten voor de buitenwereld.
Tr1pke @Prysm Software19 april 2020 11:50
ISP veilig? Dat je dit durft zeggen op een tweakers website...
Ik gebruik vpn om intern op men systemen te geraken, ik heb een paar servers thuis (debian only) + ik heb ook een paar storage servers voor familie (Die dus ook men vpn gebruiken), en al mijn/vriendin zijn/haar mobile devices (laptops) zijn gemapped naar men debian thuis zodat ik eigenlijk altijd op de server werk zodat de laptops leeg blijven voor geval van diefstal/verlies (wat al gebeurt is) dan kan ik direct de key verwijderen in vpn.
De vpn server draait op men debian internet filter
ISaFeeliN 19 april 2020 11:25
Ik weet het niet met OpenVPN .. als het allemaal niet te complex is, verbindingen snel zijn, werkt het prima. Maar ga je met clients werken vanuit India bijv. met hoge (>300ms) latency verbindingen, dan is het veelal niet vooruit te branden en in een poging zoiets te verbeteren vind je eigenlijk nooit wat je zoekt, kun je oneindig veel dingen proberen maar uiteindelijk lijkt het allemaal niets te helpen.
snoopdoge90 @ISaFeeliN19 april 2020 16:48
Lijkt erop dat je OpenVPN tunnel via UDP gaat? Of een packet fragmentation dingetje (MTU)?

[Reactie gewijzigd door snoopdoge90 op 23 juli 2024 20:47]

ISaFeeliN @snoopdoge9019 april 2020 19:31
Ja, precies, dat, of nog 30 andere mogelijke opties ..
snoopdoge90 @ISaFeeliN19 april 2020 20:19
Haha nee het is exact dat, packet fragmentation of packetloss. Een iperf test met OpenVPN op verbose 4 kan wonderen doen als je de log weet te interpreteren. Wanneer packages gefragmenteerd moeten worden kan dit behoorlijk veel extra latency toevoegen aan de verbinding. Dit kun je weer opvangen door met de MTU te spelen zodat packages die de tunnel ingaan niet gefragmenteerd hoeven te worden tussen hops. Worst case is de verbinding aan de client side in India gewoon erg klote is met van een nature veel package loss en hoge latency. Hier kun je niet veel mee doen, en geen enkele VPN software kan hier netjes mee omgaan (met de aanname dat client en server allemaal up to date zijn, de OpenVPN software is inmiddels volwassen genoeg). De enige soort van fix is een korte keepalive instellen zodat wanneer de verbinding faalt er snel opnieuw verbinding wordt gemaakt.
Tr1pke 19 april 2020 10:19
Lang gebruikt, nu WireGuard en zeer tevreden van
Cave_Boy @Tr1pke19 april 2020 11:06
Onlangs zelf ook overgestapt op WireGuard. Ook zeer tevreden en haal beduidend hogere snelheid op langzame apparatuur.
Punkbuster @Cave_Boy19 april 2020 11:33
Bedoel je dan een Pi?
Cave_Boy @Punkbuster19 april 2020 14:22
Kan een Raspberry pi zijn maar ook een router. Open VPN vraagt veel van de cpu en WireGuard een heel stuk minder. Voorbeeld zijn Glinet routers. Die zijn vaak lekker compact maar het snelheidsverschil is best veel. De AR750 doet met Open VPN ongeveer 17Mb/s en WireGuard haal ik ongeveer 70Mb/s.
Punkbuster @Cave_Boy19 april 2020 14:24
Kijk dat is goed nieuws, ik ga mijn edgerouter 4 ook maar inzetten voor wireguard.
Gumball @Punkbuster19 april 2020 11:50
Draai Wireguard hier op een Pi 1B samen met pihole en Hassio. Echt veel eenvoudiger en sneller dan OpenVPN!
snah001 @Tr1pke19 april 2020 12:41
Gebruik nu ook WireGuard op mijn desktop en het fijne is dat mijn huidige VPN provider (Torguard) deze nu ook ondersteunt met o.a. 5 servers hier in NL.
Heb OpenVpn draaien op mijn ASUS RT-AC3200 router voor 1 specifiek dedicated IP-adres met de USA en het grote nadeel van OpenVpn op een router is dat het rete langzaam is (max 25 Mbps down) omdat de rekenkracht van de cpu van een router nu eenmaal erg beperkt is en OpenVpn ook maar 1 core ondersteunt.
Er is al wel DD-WRT firmware met Wireguard oplossing voor mijn router maar dan kan ik i.v.m. mijn dedicated IP adres (nóg) niet gebruiken voor 1 specifiek source IP-adres voor bijv. mijn TV maar blijf ermee experimenteren.
Op mijn PC d.m.v. de Wireguard applicatie is er bijna geen snelheidsverlies (up/down) dit in tegenstelling tot OpenVpn.
Kubrix 19 april 2020 16:39
Algemene vraag: hoeveel trager wordt je internet van zo'n VPN?
Ynnoz @Kubrix19 april 2020 17:45
Dat hangt van een aantal factoren af: Welke VPN aanbieder je gebruikt (bij sommige aanbieders is er sprake van overboeking) en of je CPU in staat is de gegevens die versleuteld worden verstuurd snel te ontsleutelen.
Mich @Ynnoz19 april 2020 20:56
En ook op welk systeem je je VPN "installeert". Ik wilde het perce in mijn router hebben zodat heel mijn thuisnetwerk is gedekt. Met een simpele router ging ik niet sneller dan 30 mb/s.

Na een upgrade van mijn router naar een Asus RT-AC86U haal ik rustig 230MB met mijn 250MB ziggo abbo. (en de maximale upload). Deze snelheden haal je ook niet met gratis VPN diensten. Daarnaast merk je met online games er qua latency ook niets van.
Verwijderd 19 april 2020 22:07
Het maakt niet uit welke update ze er tegen aan gooien maar naar mijn mening is en blijft Nordvpn een overgewaardeerde service.
snoopdoge90 @Verwijderd19 april 2020 23:46
En wat heeft NordVPN met de OpenVPN software te maken?
Verwijderd @snoopdoge9020 april 2020 17:39
Oh wauw verkeerd gelezen. My bad
SSSQ 19 april 2020 10:39
@Prysm Software
jouw bedrijfnetwerk stel je niet open aan iedereen, enkel aan de gemachtigde medewerkers.
bijv een recepioniste werkt niet van thuis dus heeft ook geen toegang
Dit is een zaak van beveiliging.
Een isp heeft als taak het internet beschikbaar te maken aan jou. eens je die verbinding hebt (bij een breedband is die bijna altijd verbonden) dan moet je nog een verbinding maken tussen jouw pc/laptop thuis en het bedrijf waar je voor werkt, en dáár dient een VPN voor. De VPN software zorgt voor een interface en voor de bijbehorende authorisatie, encryptie en encapsulatie van het verkeer wat er tussen jouw pc zit en de firewall die jouw werk heeft.

edit typo's bewerkt

[Reactie gewijzigd door SSSQ op 23 juli 2024 20:47]

Ynnoz 19 april 2020 12:18
Overigens is de OpenVPN 2.5 pre-release met wintun een aanrader. Snelheid komt in de buurt van wireguard: http://staging.openvpn.net/openvpn2/ (onderaan de pagina van https://openvpn.net/community-downloads/)

[Reactie gewijzigd door Ynnoz op 23 juli 2024 20:47]

DoeEensGek 19 april 2020 12:36
Voor android gebruikers kan ik OpenVPN for Android aanraden. Sneller, batterij efficiënter en geen conflicten als je op hetzelfde netwerk zit waar vpn van is (pivpn thuis gebruikers).

Vooral interessant als je openbare wifi punten gebruikt of buiten Europa gewoon de Nederlandse dingen wil gebruiken.
hazo2000 20 april 2020 01:21
Domme vraag:ik ben puur thuisgebruiker en heeft zoiets dan zin voor mij? Bezoek alleen bekende sites en doe niet al jaren niet meer aan torrent download.
Hannes59 20 april 2020 07:36
Ik ga met hazo2000 mee. Ben ook maar een thuisgebruiker en ik zou niet weten of het "nuttig" is voor mij. Ik download uit muziekgroepen..... Dan schijnt OpeVPN niet te werken. Klopt dat?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq