La última versión de OpenVPN 2.7 ya se encuentra disponible para su descarga. Tras varias versiones beta y candidatas a lanzamiento, por fin podemos disfrutar de esta versión estable para actualizar nuestros servidores. Este protocolo de VPN es ampliamente utilizado, tanto en entornos domésticos (integrándose en routers de marcas como ASUS, TP-Link, y NETGEAR, entre otros) como en entornos profesionales (también presente en soluciones empresariales como pfSense y OPNsense). El equipo de desarrollo sigue trabajando para mejorar tanto el rendimiento como la seguridad, además de ofrecer compatibilidad con todos los sistemas operativos, desde Windows y Linux hasta macOS, y también aplicaciones para smartphones. ¿Deseas conocer todas las novedades y mejoras que trae esta nueva versión?
OpenVPN 2.7 presenta novedades para todos los sistemas operativos, aunque se han realizado mejoras significativas en la implementación para Windows. Lo más común es que un cliente OpenVPN opere en Windows mientras que el servidor esté en Linux o Unix, aunque también existe la posibilidad de tener un Windows Server funcionando como servidor. Esta nueva versión busca cerrar la brecha de rendimiento en comparación con el popular protocolo de VPN WireGuard, que se caracteriza por ser más rápido y seguro. Este lanzamiento está orientado a mejorar tanto la velocidad como la seguridad de las conexiones.
Principales novedades
Una de las características destacadas en OpenVPN 2.7 es su compatibilidad con múltiples sockets en el servidor. Esto permitirá gestionar diversas direcciones, puertos y protocolos dentro de un solo servidor OpenVPN, sin necesidad de levantar múltiples instancias simultáneamente.
Asimismo, se ha mejorado el soporte para opciones DNS en los clientes (cuando solicitamos que el servidor OpenVPN nos proporcione los DNS). Si planeas realizar una instalación en sistemas operativos Linux, BSD o macOS, ahora se incluyen ejemplos de implementación predeterminados de cliente OpenVPN, lo que elimina la necesidad de crear el archivo desde cero. También se ha introducido una nueva implementación del cliente para Windows, que incluye características como DNS dividido (split DNS) y DNSSEC para añadir una capa extra de seguridad a las solicitudes y respuestas.
Si utilizas un sistema operativo Windows, OpenVPN 2.7 incluye las siguientes novedades:
- La opción «block-local» ahora se implementa con los filtros WFP (Plataforma de Filtrado de Windows).
- Los adaptadores de red en el sistema operativo se generan bajo demanda.
- El servicio automático de Windows ahora se ejecuta con un usuario sin privilegios, no como administrador.
- La compatibilidad de win-dco está ahora disponible en modo servidor.
- Se ha eliminado el soporte para el controlador wintun, ya que win-dco es el controlador predeterminado, ofreciendo un rendimiento hasta un 300% superior en entornos Windows Server, según pruebas del equipo de OpenVPN. Sin embargo, tap-windows6 sigue siendo una opción alternativa para casos que no cubre win-dco. En caso de inconvenientes, siempre podrás instalar la versión anterior de OpenVPN, aunque no podrás acceder a las nuevas características. Según benchmarks de la comunidad de OpenVPN, win-dco ofrece un rendimiento de hasta 3,5 veces más en velocidad (de 150Mbps a aproximadamente 450Mbps) gracias a la tecnología Data Channel Offload.
Principales novedades de OpenVPN 2.7 por sistema operativo Otras mejoras están relacionadas con la seguridad del canal de datos en el túnel de OpenVPN. Una de las principales es que AES-GCM ya no puede usarse indefinidamente con la misma clave interna; existe un límite seguro de datos que se pueden cifrar y descifrar con la misma clave. Ahora, OpenVPN controlará automáticamente cuántos datos se cifran y forzará la renegociación de las claves, mejorando así la robustez del sistema VPN. También se ha implementado un nuevo modelo criptográfico y de estructura de paquetes para aumentar la seguridad y el control en el cifrado de datos, con claves diferentes por «épocas», de modo que cada «epoch» tenga su propia clave de cifrado, que se rotan automáticamente. El soporte de «epoch» está disponible en sistemas Windows si se utiliza el driver win-dco 2.8.0 o superior.
Característica Windows Linux General Soporte DCO (Data Channel Offload). Sí (win-dco). Sí (módulo ovpn DCO). Mejora clave de rendimiento DNS Dividido (Split DNS) y DNSSEC. Sí (nueva implementación). Sí, ya estaba. Mayor flexibilidad y seguridad en DNS Rotación de claves «epoch» para AES-GCM. Sí (con win-dco 2.8.0+). Sí. Seguridad mejorada del canal de datos Soporte para múltiples sockets. Sí. Sí. Permite gestionar múltiples IPs/puertos en un solo proceso Soporte TLS 1.3. Sí. Sí. Con librerías mbedTLS actualizadas
Estas mejoras en el canal de datos nos ofrecerán mayor seguridad, un menor impacto en caso de que una clave se comprometa, cumplen con los límites criptográficos de AES-GCM y permiten rotar las claves sin interrumpir la conexión y sin necesidad de renegociarlas. Esto resuelve problemas comunes como el uso prolongado de la misma clave, ataques de repetición y la necesidad de renegociaciones transparentes.
OpenVPN 2.7 también trae compatibilidad con PUSH_UPDATE en los clientes a través del canal de control. Esto permite a los servidores enviar actualizaciones de «opciones», como las de routing o DNS, sin necesidad de reconectar al servidor OpenVPN, lo que evita interrumpir la comunicación VPN durante la renegociación. Además, se han añadido nuevos comandos como push-update-broad y push-update-cid para enviar estas actualizaciones a través de PUSH_UPDATE.
También contamos con el protocolo TLS 1.3 en las versiones más recientes de la biblioteca criptográfica mbedTLS, así como soporte para la última versión mbedTLS 4. Se han añadido dos nuevas variables de entorno para comunicar la puerta de enlace predeterminada a plugins como Network Manager. Asimismo, se ha implementado un sistema para comprobar el «enrutamiento recursivo», de manera que ahora es más granular y solo descartará paquetes en el túnel si la IP, protocolo y puerto de destino coinciden con los requeridos para llegar al servidor VPN.
Esperamos que pronto esta nueva versión de OpenVPN y todas sus mejoras estén disponibles en los principales firmwares de routers y en sistemas operativos para empresas como pfSense, OPNsense y otros.
Preguntas frecuentes
¿Cuáles son las principales ventajas de esta nueva versión?
Las ventajas clave incluyen un mayor rendimiento gracias a los nuevos controladores (win-dco en Windows y ovpn DCO en Linux) y una seguridad mejorada mediante la renegociación automática de claves de cifrado y soporte para TLS 1.3.
¿Cómo puedo actualizar a OpenVPN 2.7?
La actualización dependerá del software o dispositivo que utilices. Deberás esperar a que los fabricantes de routers (como ASUS o TP-Link), los sistemas operativos (como pfSense) o las aplicaciones cliente de VPN incorporen esta nueva versión en sus próximas actualizaciones de firmware o software.
¿Qué es el nuevo controlador win-dco para Windows?
Es el nuevo controlador por defecto en Windows para OpenVPN 2.7. Reemplaza al anterior (wintun) y proporciona un rendimiento notablemente superior, procesando el tráfico de la VPN de forma más eficiente.
¿La mejora de seguridad afectará a mi conexión?
No, las mejoras están diseñadas para ser transparentes. Por ejemplo, la rotación de claves de cifrado se realiza sin necesidad de desconectar y renegociar la conexión, lo que mantiene la estabilidad mientras aumenta la seguridad.
