OpenVPN 2.6.4

OpenVPN logo (79 pix) OpenVPN is een robuuste en gemakkelijk in te stellen opensource-vpn-daemon waarmee verschillende private netwerken aan elkaar geknoopt kunnen worden via een versleutelde tunnel over het internet. Voor de beveiliging wordt gebruikgemaakt van de OpenSSL-library, waarmee alle encryptie, authenticatie en certificatie kunnen worden afgehandeld. De ontwikkelaars hebben versie 2.6.4 uitgebracht en de changelog voor die uitgave kan hieronder worden gevonden.

User visible changes

License amendment: all NEW commits fall under a modified license that explicitly permits linking with Apache2 libraries (mbedTLS, OpenSSL) - see COPYING for details. Existing code will fall under the new license as soon as all contributors have agreed to the change - work ongoing.

New features

DCO: support kernel-triggered key rotation (avoid IV reuse after 2^32 packets). This is the userland side, accepting a message from kernel, and initiating a TLS renegotiation. As of release, only implemented in FreeBSD kernel.

Bug fixes

fix pkcs#11 usage with OpenSSL 3.x and PSS signing (Github #323)

fix compile error on TARGET_ANDROID

fix typo in help text

manpage updates (--topology)

encoding of non-ASCII windows error messages in log + management fixed (use UTF8 "as for everything else", not ANSI codepages) (Github #319)

OpenVPN

Lees meer

Reacties (31)

teek2

12 mei 2023 11:03

Dit voelt voor mij met de komst van WireGuard en daarna Tailscale/Headscale een beetje als de vorige generatie VPNs. Zouden ze ook werken aan Tailscale-achtige, WireGuard powered VPN technologie? Het lijkt een veel makkelijker te onderhouden en meer lichtgewicht VPN ecosysteem...

arnoldus1955 @teek2 • 12 mei 2023 11:10

OpenVPN: 600.000 lines of code. (obv OpenSSL)
Wireguard : 4.000 lines of code.

Ze kunnen niet het wiel opnieuw uitvinden.

wica @arnoldus1955 • 12 mei 2023 13:14

Wireguard zal ik niet snel inzetten bij klanten. Door voornaamste reden is, dat je geen routes kan pushen.*

Wij pushen afhankelijk van het profile wat je hebt, routes naar de client. Waardoor de client 1 maal een config file voor OpenVPN krijgt en daarmee gedaan is, ook al veranderd zijn functie.

En OpenVPN AS, is naar mijn mening. Al helemaal niet te vergelijken met Wireguard. Behalve dat ze een tunnel leggen.

Voor mij zelf gebruik ik wel Wireguard. Maar ik heb ook alleen mijzelf er mee.

*) Mocht ik het niet correct hebben met het pushen van o.a. routes met wireguard hoor ik het graag.

closefuture @wica • 12 mei 2023 14:10

Niemand zal Wireguard helemaal "plain" gebruiken. Wireguard kun je zien als de low-level technologie waarop oplossingen zoals TailScale gebouwd zijn. Tailscale heeft support voor routes pushen: https://tailscale.com/kb/1214/site-to-site/

red123nax @teek2 • 12 mei 2023 12:58

Ik vind het idee van Wireguard echt top, maar ik grijp toch snel naar OpenVPN in iets professionelere omgevingen. Het gebrek aan logging, authenticatie o.b.v. LDAP, tcp support, etc zijn wel echt een gemis bij de alternatieven.

GeroldM @red123nax • 13 mei 2023 15:45

Dan zou ik als ik jou was toch eens naar kijken naar: Twingate

Identificatie gebeurt door in te loggen met je Google/Microsoft/Github/LinkedIn/FaceBook etc. account. Nadat je de installatie procedure hebt doorlopen, is het simpelweg aanzetten via een tray-icon (in Windows) en inloggen. Gaat dat goed, dan ben je gelijk ingelogd.

Kan je voor persoonlijk gebruik inzetten, maar ook professioneel. Tenminste als je net zoals ik een persoonlijk account bij de ene cloud-boer heb en een professioneel account bij een andere. Voordeel van deze is dat het ook alleen maar de traffic bedoeld voor het netwerk waar je inlogt via Twingate word verwerkt. De rest gaat via je normale ISP. De meeste VPN servers staan zo ingesteld dat zij al je traffic via de VPN herleiden.

Er is een gratis plan, maar dan heb je amper tot geen logging en sommige extra beveiligingsopties staan dan uit. Er zijn er nog steeds een boel beschikbaar. Maar het word pas echt leuk/uitgebreid in de betaalplannen,

Het heeft een naar mijn mening gemakkelijke web-interface voor administratie.

Zelf gebruik ik het voor toegang tot mijn Guacamole server en is heel erg stabiel. Even wat achtergrond: Mijn 8 jaar oude Linux laptop kan via AnyDesk met gemak enkele dagen zijn verbonden zonder 1 enkele interruptie. Mijn 1 jaar oude Windows 11 laptop (met veel meer resources) ondervind via AnyDesk minstens 1 a 2 interrupties per dag. WiFi of Ethernet kabel, het maakt niets uit. Mijn 2 jaar oude Windows 10 laptop (met bijna net zoveel resources als de Windows 11 laptop) ondervind via AnyDesk ook 1 a 2 interrupties per dag. Kabel of WiFi maakt ook hier niets uit.

Nu gebruik ik TwinGate op mijn Windows 10 laptop (via kabel) en heb nu al 4 dagen geen enkele interruptie gehad. Een connectie stabiliteit/kwaliteit waar aan ik gewend ben geraakt in Linux, is via Twingate beschikbaar in Windows.

The Zep Man @teek2 • 12 mei 2023 11:11

Dit voelt voor mij met de komst van WireGuard en daarna Tailscale/Headscale een beetje als de vorige generatie VPNs.

OpenVPN en WireGuard als protocollen en implementaties hebben deels overlap, maar ook deels gebieden waar ze uniek in zijn ten opzichte van elkaar. Beiden hebben bestaansrecht.

Over beheeroplossingen (OpenVPN Access Server, Tailscale/Headscale) doe ik geen uitspraken. Dat spul is zo overbodig...

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:49]

digibaro @teek2 • 12 mei 2023 14:15

Ik gebruik beide, maar heb toch de voorkeur voor OpenVPN vanwege de beveiligsopties die het biedt waaronder de combi van TLS + username + password + OTP. Performance is voor mijn geen issue met een i5 quad core firewall. Gebruik ook OpenVPN naar NordVPN en daar haal ik 400 Mbps met circa 25% CPU belasting.

Tevens vind ik dat handmatige "geklooi" met configuratie bestanden voor Wireguard omslachtig, echter dat is mijn persoonlijke mening.

pennywiser @teek2 • 12 mei 2023 11:37

Echter kan Wireguard geen TCP verbindingen opzetten. Tailscale lijkt dat nu wel te kunnen via relays en is onderliggend Wireguard zo lijkt het?

https://tailscale.com/blog/how-tailscale-works/

Tom Paris @pennywiser • 12 mei 2023 12:46

Waarom zou je een VPN via een TCP verbinding willen?

Jacco011

@Tom Paris • 12 mei 2023 13:27

Voor bijv. Ziggo in het buitenland. Met UDP loopt het beeld en geluid niet synchroon, met TCP wel. Sindsdien heb ik OpenVPN op een Pi4 met TCP en dat werkt super. Heb genoeg snelheid voor een stream.

pennywiser @Tom Paris • 12 mei 2023 12:50

Omdat je bijna nooit op publieke netwerken op iets anders dan TCP poort 443 naar buiten kunt.

Denk aan remote werken, publieke wifi netwerken etc.

Tom Paris @pennywiser • 12 mei 2023 13:23

In mijn ervaring maak je echt vrijwel nooit meer mee. Als je op publieke netwerken inderdaad alleen TCP 443 kon doen, zou Wireguard niet zo populair zijn geworden.

(Als je alleen TCP 443 zou kunnen, zou ook niet-VPN verkeer flink gemankeerd worden. Denk aan QUIC bijvoorbeeld.)

pennywiser @Tom Paris • 12 mei 2023 13:24

Ja klopt, je hebt voor HTTPS nu ook UDP nodig meen ik. Maar dat heeft nog niet iedereen geïmplementeerd overal. Het is wat tricky nog en ik wil geen verrassingen onderweg,

Btw, is het zo popoluair zoals jij zegt, misschien wel voor thuis of soho, maar grootzakelijk zie ik het nog nergens in gebruik. Ik lees dat hier ook weer terug.

[Reactie gewijzigd door pennywiser op 22 juli 2024 17:49]

closefuture @pennywiser • 12 mei 2023 14:14

Ja klopt, je hebt voor HTTPS nu ook UDP nodig meen ik.

Je hebt UDP nodig voor HTTP/3.

Jazco2nd

Systeem- en netwerkutility's

@Tom Paris • 12 mei 2023 23:46

Ik ben al langer dan een jaar permanent verbonden met mijn Wireguard homeserver. Standaard alleen voor DNS (en daarbij adfiltering via AdGuard Home, privacy via Unbound recursive resolver).

Als ik op publieke WiFi zit zoals op een vliegveld én als ik eraan denk, schakel ik over naar een kopie van zelfde profiel maar dan die alles door de tunnel stuurt. Kwestie van 1 toggle.

Nog nooit problemen gehad.

Jrnr601 @pennywiser • 12 mei 2023 13:52

Dat klopt niet, UDP wordt enkel gebruikt om de versleutelde Wireguard pakketten in te transporteren. De enige vereiste is dat de inhoud van die versleutelde pakketten een IP pakket moet zijn, welke dus perfect een TCP pakket kunnen bevatten.

[Reactie gewijzigd door Jrnr601 op 22 juli 2024 17:49]

Jef61 @pennywiser • 12 mei 2023 12:50

Dat moet je volgens mij ook niet willen:
TCP Mode
WireGuard explicitly does not support tunneling over TCP, due to the classically terrible network performance of tunneling TCP-over-TCP. Rather, transforming WireGuard's UDP packets into TCP is the job of an upper layer of obfuscation (see previous point), and can be accomplished by projects like udptunnel and udp2raw.

pennywiser @Jef61 • 12 mei 2023 12:52

Jawel hoor, dat willen heel veel mensen. Jammer van de overhead, maar functionaliteit komt eerst.

Ik heb het over Openvpn overigens, welke het mogelijk ook zo als jij aangeeft oplost alleen dan zonder gebruik te maken van externe packages. Ik weet het niet, ik heb het niet geschreven.

[Reactie gewijzigd door pennywiser op 22 juli 2024 17:49]

closefuture @pennywiser • 12 mei 2023 14:13

Voor zover ik weet mis je helemaal geen functionaliteit als je OpenVPN of Wireguard over UDP gebruikt? Kun je een voorbeeld noemen?

The Zep Man @closefuture • 12 mei 2023 14:24

De internetverbinding van de client blokkeert UDP-verkeer. Sterker nog, die blokkeert alles dat geen TCP 80 of 443 is.

Dit kom je soms nog wel eens tegen, en is irritant als je afhankelijk bent van de verbinding van een ander. De oplossing is een fallback op TCP, want een VPN is beter dan geen VPN.

Ook is TCP nodig om VPN-verkeer bepaalde anonimisatie/obfuscatie-methoden te laten gebruiken, wat in sommige landen nodig is om censuur te vermijden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:49]

closefuture @The Zep Man • 12 mei 2023 15:20

Dat enkel TCP 80 en 443 geopend zijn heb ik in recente tijden eigenlijk nooit meer mee gemaakt. Ook niet bij deployments van duizenden IoT devices door heel Europa. Sowieso pikt deep packet inspection (DPI) OpenVPN verkeer er zo uit. Dus het enige scenario waar je dan wat aan hebt is als je een verbinding hebt die wel zo dicht staat dat enkel TCP 80 en 443 open staat maar er geen DPI is. Als je censuur wilt omzijlen en niet gepakt wilt worden kun je ook weer beter TOR gebruiken aangezien dat ontworpen is voor dat doel.

Maar voor de mensen die een dergelijke corner case hebben kun je zeker OpenVPN gebruiken.

Als je een dergelijke corner case niet hebt zie ik niet het voordeel van een VPN oplossing die op OpenSSL gebaseerd is (sure je kunt ook WolfSSL gebruiken maar wie doet dat in de praktijk?). Met Wireguard trek je niet heel OpenSSL naar binnen en zijn er van Wireguard implementaties in de kernel voor Linux en FreeBSD. Maar ook implementaties geschreven in memory safe languages zoals Rust.

The Zep Man @closefuture • 12 mei 2023 15:36

Als je een dergelijke corner case niet hebt zie ik niet het voordeel van een VPN oplossing die op OpenSSL gebaseerd is (sure je kunt ook WolfSSL gebruiken maar wie doet dat in de praktijk?).

PKI-gebaseerd sleutelgebruik, ingebouwde ondersteuning voor authenticatie via diensten via andere diensten, ingebouwd dynamisch netwerkadresbeheer, ingebouwde remote client netwerkbeheer, ...

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:49]

closefuture @The Zep Man • 12 mei 2023 16:54

PKI-gebaseerd sleutelgebruik, ingebouwde ondersteuning voor authenticatie via diensten via andere diensten, ingebouwd dynamisch netwerkadresbeheer, ingebouwde remote client netwerkbeheer, ...

Plenty van wat je hierboven noemt heb je geen OpenSSL voor nodig en kun je ook doen met met oplossingen die gebouwt zijn boven op Wireguard zoals TailScale, HeadScale, NetMaker, etc.

Overigens zijn er ook nog andere oplossingen die niet op WireGuard bouwen zoals Nebula die ook plenty van dit bieden

Als je een oplossing op basis van PKI wilt kun je beter IPSec met IKEv2 en X.509 gebruiken. Dan kun je ook meteen smartcards gebruiken op bijvoorbeeld Windows en Linux clients. Iets wat met OpenVPN een stuk lastiger is.

The Zep Man @closefuture • 12 mei 2023 17:16

[...]

Plenty van wat je hierboven noemt heb je geen OpenSSL voor nodig en kun je ook doen met met oplossingen die gebouwt zijn boven op Wireguard zoals TailScale, HeadScale, NetMaker, etc.

Geen OpenSSL voor nodig, maar die functies zitten wel gewoon in OpenVPN ingebouwd, zonder nog iets extra's erbij te hoeven installeren. Verder gebruikt de grote wereld wel 'gewoon' OpenSSL, dus is OpenVPN over het algemeen geen probleem.

Als je een oplossing op basis van PKI wilt kun je beter IPSec met IKEv2 en X.509 gebruiken. Dan kun je ook meteen smartcards gebruiken op bijvoorbeeld Windows en Linux clients. Iets wat met OpenVPN een stuk lastiger is.

IPSec heeft weer zijn eigen problemen, en is ook beperkt tot OSI level 3 of UDP, wat niet overal doorgegeven wordt.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:49]

closefuture @The Zep Man • 12 mei 2023 22:42

Verder gebruikt de grote wereld wel 'gewoon' OpenSSL, dus is OpenVPN over het algemeen geen probleem.

OpenSSL is minder popular dan je denkt. Alles van Google (Chrome, Android, intern, etc.) maar ook populaire reverse proxies zoals Envoy gebruiken BoringSSL. Mozilla Firefox gebruikt NSS. OpenBSD gebruikt LibreSSL. Deze forks en alternatieven hebben een beter security trackrecord dan OpenSSL. Welke relatief recent nog redelijk high profile vulnerabilities gehad heeft. Zoals CVE-2022-2274.

pennywiser @closefuture • 12 mei 2023 15:03

UDP staat/stond vrijwel altijd dicht op publieke netwerken. Qua functionaliteit werkt het hetzelfde. Als het werkt.

ISaFeeliN 12 mei 2023 13:49

Voor de OpenVPN-AS users die hier toevallig mee kijken - Ik zou graag de ESXi images willen gebruiken, maar ik zie dat deze nog zijn gebaseerd op Ubuntu 18.04, die al EOL is. Ik heb hier op het forum al vragen over gesteld en ondanks een bump een ruime week later, geen enkele reactie. Niet geschoten is altijd mis zou je zeggen, mis is het dus inderdaad. Hier toevallig iemand een idee?

jvwou123 @ISaFeeliN • 12 mei 2023 14:45

De standard support van 18.04 loopt af in juni 2023, en de end of life is april 2028. Tot april 2028 zou je de Extended Security Maintenance (ESM) aan kunnen zetten.

Ik zou zelf ook liever Ubuntu 22.04 nu gebruiken als image voor iets dat je nu installeert. Dan heb je nog even voordat deze verloopt.

PetervdM 12 mei 2023 13:47

wireguard kent geen bridge mode, openvpn wel. ik heb software die vereist dat communicatie met het apparaat in het zelfde netwerk verloopt, als dat niet zo is loopt de communicatie via internet. ben ik niet zo'n voorstander van.

[Reactie gewijzigd door PetervdM op 22 juli 2024 17:49]

pennywiser 12 mei 2023 11:42

https://swupdate.openvpn....nVPN-2.6.4-I001-amd64.msi

Op dit item kan niet meer gereageerd worden.

Versienummer	2.6.4
Releasestatus	Final
Besturingssystemen	Windows 7, Linux, BSD, macOS, Solaris, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016, Windows Server 2019, Windows 11
Website	OpenVPN
Download	https://openvpn.net/community-downloads
Licentietype	Voorwaarden (GNU/BSD/etc.)

03-04	OpenVPN 2.6.14	0
15-01	OpenVPN 2.6.13	28
07-'24	OpenVPN 2.6.12	22
06-'24	OpenVPN 2.6.11	0
03-'24	OpenVPN 2.6.10	3
02-'24	OpenVPN 2.6.9	0
11-'23	OpenVPN 2.6.8	9
11-'23	OpenVPN 2.6.7	1
08-'23	OpenVPN 2.6.6	38
06-'23	OpenVPN 2.6.5	2

Software-update: OpenVPN 2.6.4

Update-historie

Lees meer

Reacties (31)

Sorteer op:

Weergave: