Software-update: OpenVPN 2.6.6

OpenVPN logo (79 pix) OpenVPN is een robuuste en gemakkelijk in te stellen opensource-vpn-daemon waarmee verschillende private netwerken aan elkaar geknoopt kunnen worden via een versleutelde tunnel over internet. Voor de beveiliging wordt gebruikgemaakt van de OpenSSL-library, waarmee alle encryptie, authenticatie en certificatie kunnen worden afgehandeld. De ontwikkelaars hebben versie 2.6.6 uitgebracht en de changelog voor die uitgave kan hieronder worden gevonden.

User visible changes
  • OCC exit messages are now logged more visibly (Github #391)
  • OpenSSL error messages are now logged with more details (for example, when loading a provider fails, which .so was tried, and why did it fail) (Github #361)
  • print a more user-friendly message when tls-crypt-v2 client auth fails
  • packaging now includes all documentation in the tarball
New features
  • set WINS server via interactive service - this adds support for "dhcp-option WINS 192.0.2.1" for DCO + wintun interfaces where no DHCP server is used (Github #373).

Windows MSI changes since 2.6.5:

  • Included openvpn-gui updated to 11.44.0.0
  • MSIs now use OpenSSL 3.1.2
Bug fixes / Code cleanup
  • route.c was sometimes ignoring return values of add_route3() (found by coverity)
  • ntlm: clarify use of buffer in case of truncated NTLM challenge, no actual code change (reported by Trial of Bits, TOB-OVPN-14)
  • pkcs11_openssl.c: disable unused code (found by coverity)
  • options.c: do not hide variable from parent scope (found by coverity)
  • configure: fix typo in LIBCAPNG_CFALGS (Github #371)
  • ignore IPv6 route deletion request on Android, reduce IPv4 route-related message verbosity on Android
  • manage.c: document missing KID parameter of "client-pending-auth" (new addition in da083c3b (2.6.2)) in manage interface help text
  • vpn-network-options.rst: fix typo of "dhcp-option" (Github #313)
  • tun.c/windows: quote WMIC call to set DHCP/DNS domain with hyphen (Github #363)
  • fix CR_RESPONSE management message using wrong key_id
  • work around false positive compiler warnings with MinGW 12
  • work around false positive compiler warnings with GCC 12.2.0
  • fix more compiler warnings on FreeBSD
  • test_tls_crypt: improve cmocka testing portability
  • dco-linux: fix counter print format (signed/unsigned)
  • packaging: include everything that is needed for a MSVC build in tarballs (Github #344)

OpenVPN

Versienummer 2.6.6
Releasestatus Final
Besturingssystemen Windows 7, Linux, BSD, macOS, Solaris, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016, Windows Server 2019, Windows 11
Website OpenVPN
Download https://openvpn.net/community-downloads
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 18-08-2023 07:08 38

18-08-2023 • 07:08

38

Bron: OpenVPN

Update-historie

03-04 OpenVPN 2.6.14 0
15-01 OpenVPN 2.6.13 28
07-'24 OpenVPN 2.6.12 22
06-'24 OpenVPN 2.6.11 0
03-'24 OpenVPN 2.6.10 3
02-'24 OpenVPN 2.6.9 0
11-'23 OpenVPN 2.6.8 9
11-'23 OpenVPN 2.6.7 1
08-'23 OpenVPN 2.6.6 38
06-'23 OpenVPN 2.6.5 2
Meer historie

Lees meer

OpenVPN

geen prijs bekend

Systeem- en netwerkutility's

Reacties (38)

-Moderatie-faq
38
38
7
0
0
26
Wijzig sortering
wigwam 18 augustus 2023 07:31
top programma
Dutch2007 @wigwam18 augustus 2023 08:50
Wireguard werkt toch echt wel beter....
Hetisweergezell @Dutch200718 augustus 2023 08:59
Ik draai openvpn op mijn rpi4. Heb wireguard geprobeerd maar kreeg dat niet werkend. Ben nog niets tegen gekomen wat met OpenVPN niet lukt. Dus wat werkt er dan beter?
pennywiser @Hetisweergezell18 augustus 2023 10:13
Al eens naar Pivpn gekeken? Dat kan in principe beide maar biedt ook een mooi beheer shelletje.
lenwar
@Hetisweergezell18 augustus 2023 10:20
Dus wat werkt er dan beter?
Het feit dat jij het niet aan de praat krijgt, maakt WireGuard niet beter of slechter als product. Wat is beter Linux of Z/OS. Het feit dat ik niks met Z/OS kan, wil niet zeggen dat, als product, Linux beter is. :)

Als jij alles kan met OpenVPN, is OpenVPN een goed product voor jou. Ik kan alles met OpenVPN, maar ook alles met WireGuard. WireGuard is aanzienlijk sneller. Dat maakt WireGuard voor mij beter. Ik zal zeker niet zeggen dat OpenVPN geen goed product is overigens.
Hetisweergezell @lenwar18 augustus 2023 11:45
Zo bedoel ik het ook helemaal niet. Ik heb echt wel genoeg zelfreflectie dat het hoogstwaarschijnlijk aan mij zelf ligt dat ik het niet aan de praat krijg :) . Heb Pivpn gebruikt en daar de Wireguard optie gekozen maar dat werkte niet out of the box, Pivpn met Openvpn daarentegen wel. Dieper heb ik er niet in gedoken.

Mijn vraag was eigenlijk bedoeld om eens te checken of Wireguard zoveel voordelen heeft t.o.v. Openpn dat het de moeite kan lonen om er wat dieper in te duiken om het toch aan de praat te krijgen.

Maar als de enige reden de performance is (die voor mij goed genoeg is, heb toch maar een 50/50 mBit lijn) en het niet significant veiliger/gebruiksvriendelijke/andere reden is dan blijf ik lekker plakken bij Openvpn.
lenwar
@Hetisweergezell18 augustus 2023 12:26
De meest concrete voordelen van WireGuard zijn inderdaad snelheid en minder complex om op te zetten.

Ik heb het dan over de ‘kale’ producten. Dus niet één van de wrapperproducten als pivpn. Dat zou ik niet weten.

Een ander ‘voordeel’ van WireGuard is, is dat het altijd veilig is. OpenVPN kan je als je het heel rottig doet onveilig te krijgen is. (Maar dat moet je dan bewust doen, dus dat is niet echt een argument ;) )

OpenVPN is als product veel uitgebreider. Het heeft een complete PKI, gebruikersbeheer, het kan aan een LDAP geknoopt worden, de clients kunnen op afstand beheerd worden, enz.
WireGuard heeft dit allemaal niet. Dat is derdepartijsoftware voor nodig.

Naar mijn mening en in z’n algemeen is WireGuard voor de meeste particulieren een betere oplossing omdat het sneller is en makkelijker is op te zetten.
OpenVPN is echt een veel completer product die voornamelijk voor zakelijke toepassingen van belang zijn.
Het één sluit echter het ander niet uit qua doel/functie.

Als OpenVPN z’n ding doet voor jou en je bent er blij mee, dan moet je het vooral houden! :)
Dutch2007 @Hetisweergezell18 augustus 2023 22:35
Pivpn, 3 kliekjes voor wireguard (min of meer)
Flappie @Dutch200718 augustus 2023 09:13
Voor even een snelle VPN tussen 2 locaties/devices is dit prima (Wireguard). Lekker snel op te zetten en goede performance.

Maar OpenVPN is wel meer dan dat! Dat kun je niet 1 op 1 vergelijken. O.a. user authenticatie e.d. kan met Wireguard NIET.

Beiden hebben hun voordelen en gebruikt hangt af van de situatie.
arnoldus1955 @Flappie18 augustus 2023 10:04
Welke soort user-auth? Bij WG kan je gewoon nieuwe sleutels maken. Maar er is geen geïntegreerd systeem om te managen wie de sleutel-users zijn / OS users toe te kennen, dat moet je dan zelf doen.
lenwar
@arnoldus195518 augustus 2023 10:25
OpenVPN kent 'gebruikers'. Je kan hem aan Active Directory of een andere LDAP-service knopen. OpenVPN heeft een complete PKI en geberuikersbeheerlaag. Je kunt clients op afstand beheren, onboarden en configureren.

WireGuard kent alleen sleutels die je op een één of andere manier over en weer moet overtypen/kopieren-plakken. Dat is prima, maar dat is wel wat anders dan 'gebruikersbeheer'. Het feit dat je een sleutel als alias aan een persoon koppelt, zou je in theorie gebruikersbeheer kunnen noemen, maar dat is het natuurlijk niet echt. :)
ctrl-tab @Dutch200718 augustus 2023 08:58
Vooral het ontbreken van awkward openssl certificaat generatie en in-kernel operation (performance) zijn imo grote voordelen van Wireguard . Gewoon 1 lange key nodig voor verbinden, geen hassle.

Veelzijdiger ook; ik gebruik nu ook wireguard (zakelijk) voor encrypten van traffic tussen kubernetes workloads (via cilium), ook daar, no hassle. Doe dat maar eens met OpenVPN.
Rolfie @Dutch200718 augustus 2023 09:41
Defineer "Beter"?

Want bijvoorbeeld de performance is inderdaad een stuk beter.
Authenticatie mogelijkheden zijn er eigenlijk weer niet. Wat vaak juist een must is bij niet thuis gebruik.
Configuratie mogelijkheden zijn volgens mij bij WireGuard niet.
lenwar
@Dutch200718 augustus 2023 10:16
Wireguard en OpenVPN zijn niet volledig te vergelijken in de praktijk.

Wireguard is echt supersnel, zit in Linux direct in the kernel en heeft alleen een tooltje nodig om een tunnel op te kunnen zetten.

OpenVPN daarentegen is een complete suite. Het heeft gebruikersbeheer, inclusief een complete KPI. De clients kunnen of afstand beheerd/geconfigureerd worden enzovoorts. De OpenVPN beheerder kan per client op afstand routes aanmaken, blokkeren, omleiden, enzovoorts.


WireGuard is simpel en vlug op te zetten en ideaal voor voornamelijk statische configuraties en apparaten waar je makkelijk/snel toegang tot hebt. Voor zakelijk gebruik (laten we zeggen thuiswerkers of zo), heb je effectief al snel derdepartijsoftware nodig om de boel te kunnen beheren en merk je toch dat OpenVPN daar meer geschikt voor is.

Persoonlijk gebruik ik WireGuard voor alles omdat het sneller is. Ik heb een paar VPS'en 'in mijn netwerk getrokken'. Ik gebruik het om met mijn mobiele apparaten in mijn netwerk te komen, enzovoorts. Maar dat zijn allemaal apparaten die ik zelf dagelijks in mijn handen heb of makkelijk op kan inloggen. Ik zou er niet aan moeten denken om 200 laptops en telefoons op die manier te moeten beheren. :)
divvid @Dutch200718 augustus 2023 11:13
Totaal onvergelijkbare producten. OpenVPN is layer 2, WireGuard layer 3
Ja WG is subjectief ‘sneller’
oVPN is beter te beheren
arnoldus1955 @divvid18 augustus 2023 16:40
Bedoel je TAP als layer 2? Want als ik het goed begrepen heb wordt voornamenlijk TUN gebruikt (en is het dan niet layer 3?)
JaDatIsPeter @Dutch200718 augustus 2023 11:30
Wireguard werkt toch echt wel beter....
Behalve als je het op tcp/443 wil laten draaien.. en dat wil je als je gebruik wil maken van aanbieders van wifi die alleen tcp/80 en tcp/443 doorlaten.
pennywiser @JaDatIsPeter18 augustus 2023 11:45
Dat probleem lost zich vanzelf op met http3.
lenwar
@pennywiser18 augustus 2023 15:08
Hoe gaat HTTP/3 (danwel QUIC) dat oplossen?

Als de WiFi-provider 'alleen' TCP/443 en TCP/80 gaat doorlaten (en waarschijnlijk ook zaken als UDP/53 voor DNS en nog een zooi andere poorten voor mail en zo), dan zal die, wanneer die er voor kiest zo strikt te zijn, slechts UDP/443 en UDP/80 openzetten.

Al met al zal dat dus weinig uithalen. Je kan uiteraard je WireGuard node op poort 443 laten luisteren, maar of dat nou de meest praktische methode is, is natuurlijk twijfelachtig op z'n best :) Daarnaast kan een netwerkbeheerder zonder al te veel gedoe het verschil tussen https en WireGuard detecteren. (zonder de inhoud te kunnen zien)

Edit: Typo

[Reactie gewijzigd door lenwar op 22 juli 2024 14:56]

pennywiser @lenwar18 augustus 2023 15:14
Waarom is dat twijfelachtig? Voor mensen die veel onderweg zijn is het vaak de enige oplossing. Of heb je een betere, zo ja waarom geef je die dan niet?
lenwar
@pennywiser18 augustus 2023 15:39
Waarom is dat twijfelachtig?
WireGuard laten draaien op een "gereserveerde" standaard poort (443 in dit geval) is technisch gezien uiteraard prima mogelijk. Het zal technisch gezien ook werken, maar het kan in de praktijk natuurlijk ook voor gedoe zorgen.
Als je zelf geen webserver hebt draaien naast je WireGuard op hetzelfde IP-adres zal dat stukje geen probleem verzorgen. Ik ben persoonlijk niet bekend met UDP-multiplexers voor https/wireguard-verkeer, maar dat zou natuurlijk een workaround zijn. Als echter de betreffende WiFi-provider dergelijk veel moeite doet om zaken af te schermen, zullen ze de moeite nemen om https-verkeer te scheiden van WireGuard-verkeer op poort 443.
Voor mensen die veel onderweg zijn is het vaak de enige oplossing.
Nodig is natuurlijk een fluide begrip. Dat gaat aanzienlijk verder dan "fijn om te hebben" of "het kan niet gratis". Netflix hebben we niet 'nodig', maar is wel fijn, maar er zullen weinig mensen die het nodig-nodig hebben (al zal menig puber daar anders over denken ;) ). DNS/mail/web-verkeer kunnen wel 'nodig zijn' als zodanig. Met die aanname stel ik dat een mobiele verbinding een betere oplossing is. Als je veel onderweg bent en dat echt nodig hebt, dan is dat per definitie de betere oplossing. Uiteraard is er niet overal een goede/stabiele mobiele verbinding mogelijk, maar datzelfde geldt voor beschikbare WiFi verbindingen.

Wat je nu dus al zou kunnen doen is één van de UDP-diensten gebruiken die normaal gezien wel open staat. Je zou je WireGuard dan op poort 53 (DNS) of 67/68 (DHCP) kunnen zetten. Dus stel dat de WiFi-provider 'echt' alleen maar op poortniveau de boel dicht zet, dan zou dat voldoende moeten zijn, gezien de meeste publieke WiFi-providers derde partijen gebruiken voor de toegang.
Of heb je een betere, zo ja waarom geef je die dan niet?
Ik weet niet of je dit als 'sneer' bedoelt (zo voelt het wel een beetje, maar dat kan aan mij liggen :) ), maar het feit dat ik allicht niet een oplossing heb, maar wel een potentieel probleem benoemen moet toch kunnen? (ik mag tenslotte ook vinden dat een bondscoach een rare beslissing neemt zonder het zelf beter te kunnen)

Anyway.
Ik maak zelf maar sporadisch gebruik van publieke WiFi-hotspots, maar ik ben tot op heden nog nooit tegen het probleem aangelopen dat ik niet naar mijn WireGuard-node kon verbinden op z'n UDP-poort. Is het probleem echt zo erg aanwezig? (ik zou het oprecht niet weten)
pennywiser @lenwar18 augustus 2023 16:00
Je geeft serieus veel goede informatie, maar ik vind het nogal een downer als mensen roepen, dit is "twijfelachtig" en "niet heel praktisch", zonder onderbouwing te geven. Ik denk liever in mogelijkheden.
JaDatIsPeter @pennywiser18 augustus 2023 19:00
Dat probleem lost zich vanzelf op met http3.
Oh, hoe dan?
Ik ontsluit het netwerk nu via één poort, en hoef dus maar op één plek authenticatie en autorisatie te regelen en kan ook non-http verkeer gebruiken.
pennywiser @JaDatIsPeter18 augustus 2023 19:05
Ik had het over http3 waarin verkeer over UDP poort 443 zal gaan, dus meer en meer netwerken zetten dat vanzelf allemaal open en dan zul je vervolgens WG welke native alleen via UDP connect op steeds meer public wifi netwerken kunnen gebruiken.

[Reactie gewijzigd door pennywiser op 22 juli 2024 14:56]

arnoldus1955 @JaDatIsPeter18 augustus 2023 16:41
Zou een reverse proxy dat probleem niet kunnen oplossen?
JaDatIsPeter @arnoldus195518 augustus 2023 19:09
Zou een reverse proxy dat probleem niet kunnen oplossen?
Nee. Althans, die lost één probleem op, maar geeft er meer uitdagingen voor terug. Van de regen in de drup :-)

Zo is http3 indirect (op termijn) een oplossing. Http3 lost het probleem niet op, maar forceert door zijn populariteit udp toestaan.
wica 18 augustus 2023 09:21
@Drobanir OpenVPN.heeft nog steeds geen web interface ;) Dat is nog steeds OpenVPN AS ;)
GEi 18 augustus 2023 09:28
Ben voor een vpn server thuis overgestapt van OpenVPN naar WireGuard. Geen spijt van. Werkt op alle devices waar ik het op wil gebruiken (iOS, macOS, Windows 10, Android) en ook vrouw en kinderen heb ik nu meer op de vpn dan voorheen (voor hen is elke tik of klik er 1 teveel, dus moest op zijn minst simpeler zijn dan OpenVPN). Qua stabiliteit merk ik geen verschil. Wel lijkt het allemaal wat sneller, of soepeler te gaan. Heb helaas verzuimd wat speedtestjes te doen voor de switch naar WG.
divvid @GEi18 augustus 2023 11:08
Zowel openVPN als WG zijn slechts 1 klik op een iOS/android apparaat. Op macos is het ook 1 klik. Windows….geen idee of dat zoveel ingewikkelder is
RangedNeedles @GEi18 augustus 2023 11:45
@GEi @divvid Welke client gebruik jullie op iOS en macOS? Ik had eerst de officiële Wireguard apps uit de respectievelijke App Stores, maar daar loop je soms tegen een probleempje aan dat je geen verbinding kan maken. Dacht dat het aan m'n configuratie lag, maar 'n korte zoektocht op het internet had me geleerd dat er meerdere mensen hier soms tegenaan lopen.

Ik gebruik nu de app Passepartout die wel gewoon werkt, maar prefereer wel gewoon de officiële.

Nu nog uitvogelen hoe ik het moet configureren als het gastnetwerk waar ik mee verbonden ben óók 192.168.0.1/24 gebruikt en WG m'n DNS die thuis op 192.168.0.2 draait dus niet vindt (omdat die op het gastnetwerk kijkt?).

Leuk spul alleszins en zo veel makkelijker op te zetten dan OpenVPN op m'n Pi destijds :9
GEi @RangedNeedles18 augustus 2023 12:15
Ik gebruik de clients van WireGuard zelf. Omdat die het allebei in 1 keer deden niet verder gekeken.
Ik ben overgegaan nadat WireGuard na een update door de router werd ondersteund. Wat @divvid zegt is waar, maar ik kijk tegenwoordig ook gemak en onderhoud. De tijd dat ik alles zelf deed en alles zelf onderhield e.d. ligt meer en meer achter mij. Ben druk genoeg met andere dingen dat het netwerk thuis ‘het gewoon moet doen’. Heb de lat echter nog steeds hoog liggen, en daarom jaren geleden de fuik van UI ingezwommen. Ook geen spijt van, overigens.
divvid @RangedNeedles18 augustus 2023 18:59
Ik gebruik zelf de officiële WireGuard app en voor de openVPN verbindingen ook de officiële software

WG en oVPN Woden beiden door openWRT ondersteund, daarmee kan je zelf met je routering knoeien

[Reactie gewijzigd door divvid op 22 juli 2024 14:56]

arnoldus1955 @GEi18 augustus 2023 16:43
Ik heb zelfs een bug in de android client, bij elke boot staat standaard WG aan en wordt al mijn verkeer getunneled naar mijn onderneming in België.
kmichael 18 augustus 2023 10:19
Ik ben van OpenVPN overgestapt naar Tailscale. Veel makkelijker dan files importeren voor OpenVPN.
divvid @kmichael18 augustus 2023 11:11
Geen open source
Betaald voor teams
Hoe zit het met updates, back doors, security patches. Dat weet je allemaal niet bij een closed source app
lenwar
@divvid18 augustus 2023 15:16
Als jij dan eventjes alle code van de open source kernel modules van WireGuard dubbelchecked, voel ik me ook wat veiliger... En als je toch bezig bent....

Open Source is geen garantie op geen vage dingen, geen back doors, enz, enz, enz. Zeker code omtrent versleuteling is erg complex en zijn er maar een handje vol mensen die die code goed kunnen begrijpen.
Er zijn zat open source projecten die fouten bleken hebben, die er al jaren en jaren in zaten. En dan heb ik het echt over projecten als OpenSSL en dergelijke.
(niks ten nadele van de organisatie achter OpenSSL natuurlijk!!)

Ik hecht persoonlijk meer waarde aan audits door gerenomeerde auditingbedrijven, dan aan open source.

En buiten dat. Weet jij zeker dat de software die jij op je telefoon/pc zet daadwerkelijk voortkomt uit de beschikbaar gestelde code? Het zal wel hoor, maar we hebben geen garantie totdat we het zelf gaan compileren.
divvid @lenwar18 augustus 2023 17:35
Uiteraard ga ik dat niet zelf controleren. OS code kan inderdaad bugs bevatten, maar de kans op ontdekking en fix is vele malen groter dan van een kleine closed source speler.
Audits moeten wel eerst gedaan worden en dan ook nog eens gepubliceerd. Vooral dat laatste zal niet gebeuren als de opdrachtgever niet content is met de uitkomst

[Reactie gewijzigd door divvid op 22 juli 2024 14:56]

arnoldus1955 @kmichael18 augustus 2023 17:32
Als ik het goed voor heb is Tailscale = Wireguard + intermediaire servers + GUI.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq