heise PlusAbo
Anzeige

Freie VPN-Software OpenVPN in Version 2.7.0 mit wichtigen Neuerungen

Die neue Version von OpenVPN bringt Multi-Socket-Support fĂĽr Server und ĂĽberarbeitete Windows-Funktionen. Mehrere SicherheitslĂĽcken wurden behoben.

vorlesen Druckansicht 3 Kommentare lesen
Globus mit Netzwerkverbindungen, gelber Hintergrund

(Bild: heise medien)

Lesezeit: 4 Min.
iX Magazin
Von
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die Open-Source-VPN-Software OpenVPN ist in Version 2.7.0 erschienen. Sie bringt zahlreiche Verbesserungen für Server und Windows-Clients. Zu den wichtigsten Neuerungen zählen Multi-Socket-Support für OpenVPN-Server und eine grundlegend überarbeitete Windows-Implementierung mit Split-DNS-Unterstützung.

OpenVPN-Server können nun auf mehreren Sockets gleichzeitig lauschen. Administratoren können in der Konfiguration mehrere --local-Anweisungen angeben und so gleichzeitig UDP- und TCP-Verbindungen auf verschiedenen Adressen und Ports bedienen. Das verbessert die Ressourcennutzung und ermöglicht eine bessere Lastverteilung, ohne zusätzliche Serverinstanzen starten zu müssen.

Auf Windows-Clients hat OpenVPN die DNS-Implementierung grundlegend erneuert. Die neue Version nutzt die Windows Name Resolution Policy Table (NRPT) für echtes Split-DNS. Damit können Unternehmensdomains über das VPN aufgelöst werden, während öffentliche Domains weiterhin lokal abgefragt werden. Außerdem unterstützt die Windows-Implementierung nun die DNSSEC-Validierung.

Videos by heise

Win-dco ersetzt Wintun

Bei den Windows-Treibern gibt es eine wichtige Änderung: Der neue win-dco-Treiber (Windows Data Channel Offload) ist nun Standard und ersetzt den bisher genutzten Wintun-Treiber vollständig. Der Wintun-Entwickler will nur noch die Verwendung seiner eigenen Binaries erlauben. OpenVPN konzentriert sich daher auf win-dco, das dank der Kernel-Level-Integration eine bessere Performance bietet und mittlerweile auch den Server-Modus unterstützt. Als Fallback bleibt der tap-windows6-Treiber für spezielle Anwendungsfälle erhalten.

Eine weitere wichtige Neuerung ist die PUSH_UPDATE-Kontrollkanal-Nachricht. Server können damit Routing- und DNS-Konfigurationen aktualisieren, ohne dass Clients die Verbindung trennen müssen. Das ist besonders in Unternehmensumgebungen mit häufigen Konfigurationsänderungen vorteilhaft. Server-Administratoren können die Funktion über die Management-Interface-Befehle push-update-broad und push-update-cid nutzen.

Verschärfte Sicherheitsmaßnahmen

Bei der Verschlüsselung setzt OpenVPN 2.7.0 nun strikte Nutzungslimits für AES-GCM durch. Das System erzwingt eine Renegotiation nach etwa 2^28 bis 2^31 übertragenen Paketen, abhängig von der Paketgröße. Die Sicherheitsmarge entspricht damit dem TLS-1.3-Standard und basiert auf einem IETF-Draft zu AEAD-Limits. Das verhindert Angriffe, die auf der Wiederverwendung von Verschlüsselungsschlüsseln basieren.

Die Windows-Version nutzt nun die Windows Filtering Platform (WFP), um das block-local-Flag durchzusetzen. Damit können VPN-Administratoren verhindern, dass Clients auf lokale Netzwerke zugreifen, wenn dies nicht explizit konfiguriert ist. Zudem läuft der Windows-Service jetzt als unprivilegierter Benutzer statt mit Administratorrechten, was die Angriffsfläche reduziert. Netzwerkadapter werden außerdem nur noch bei Bedarf generiert.

OpenVPN 2.7.0 unterstützt das neue ovpn-DCO-Linux-Kernel-Modul, das in zukünftigen Linux-Kernel-Versionen enthalten sein wird. Für aktuelle Kernel sind Backports über das ovpn-backports-Projekt verfügbar. Das Modul bietet Kernel-Level-Offloading für eine bessere Performance. Außerdem bringt die Version Unterstützung für TLS 1.3 mit mbedTLS 4, was modernere Verschlüsselungsprotokolle, bessere Forward Secrecy und schnellere Handshakes ermöglicht.

Behobene SicherheitslĂĽcken

In den Release-Kandidaten von OpenVPN 2.7 wurden mehrere Sicherheitslücken entdeckt und behoben. Die kritischste war CVE-2025-12106, ein Heap-Buffer-Over-Read in den Versionen 2.7_alpha1 bis 2.7_rc1. Die Lücke entstand durch unzureichende Argument-Validierung und ermöglichte DoS-Angriffe gegen OpenVPN-Clients. In Version 2.7_rc3 beseitigten die Entwickler zusätzlich Logik-Fehler in der HMAC-Verifikation, Stabilitätsprobleme im Windows Interactive Service und Buffer Over-Reads. Alle diese Sicherheitsprobleme sind in der stabilen Version 2.7.0 geschlossen.

Beim Upgrade von Version 2.6.x sollten Administratoren primär beachten, dass Wintun nicht mehr unterstützt wird. Zudem gibt es bekannte Kompatibilitätsprobleme bei Windows-Servern mit dem DCO-Treiber beim Upgrade von 2.7_rc3. Die Client-zu-Client-Kommunikation kann beim Wechsel von Wintun zu DCO beeinträchtigt werden.

Alle Details der neuen Version 2.7.0 finden sich in den Release Notes auf der GitHub-Seite von OpenVPN.

Lesen Sie auch

Siehe auch:

(fo)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Server

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten