OpenVPN 2.7.1 ya está aquí. No es una versión que vaya a cambiarte la vida de golpe, pero sí es de esas actualizaciones que, cuando miras con calma, te das cuenta de que arreglan justo lo que molestaba y pulen detalles que, en el día a día, marcan la diferencia. Es la primera actualización de mantenimiento dentro de la serie 2.7 de OpenVPN, y llega con una mezcla bastante equilibrada de nuevas funciones, ajustes de comportamiento y correcciones de errores.
Uno de los cambios más curiosos —y bastante específico, todo hay que decirlo— es la incorporación del argumento username-only dentro del parámetro –auth-user-pass. ¿Qué significa esto en la práctica? Que OpenVPN puede limitarse a pedir solo el nombre de usuario y enviar una contraseña ficticia al servidor. No es algo que todo el mundo vaya a usar, ni mucho menos, pero tiene sentido en escenarios donde el sistema de autenticación no depende de una contraseña tradicional, sino de mecanismos externos basados en el nombre de usuario. Es decir, no es una mejora generalista, pero para quien la necesita, encaja perfectamente.
Otro punto interesante está en cómo han tocado la gestión interna del rendimiento. Se ha aumentado el tamaño por defecto de los mapas hash internos a 4 veces el valor de –max-clients. Antes, el valor por defecto era 256 cuando se configuraban 1024 clientes, lo que en la práctica generaba un impacto negativo en el rendimiento sin que el ahorro de memoria justificase esa decisión. Aquí hay una lectura clara: estaban priorizando memoria donde no hacía falta y penalizando velocidad. Ahora lo corrigen. Eso sí, si estás trabajando en sistemas muy limitados en recursos, recomiendan ajustar manualmente el parámetro –max-clients. Traducido: el cambio es mejor en general, pero no es magia si tu hardware es justo.
También hay cambios visibles que, aunque más discretos, tienen su importancia. Por ejemplo, se sustituye LimitNPROC por TasksMax en systemd y se incrementan los límites en los archivos de unidad, lo que mejora la gestión de procesos. Además, el registro de conexiones entrantes pasa a mostrarse en nivel verb 3 en lugar de nivel error, lo cual tiene lógica: no todo lo que ocurre en una conexión es un problema, y mezclarlo con errores reales solo genera ruido. Y ojo con esto: ahora se muestra una advertencia en tiempo de ejecución si usas –tls-cert-profile junto con la biblioteca SSL AWS-LC. No es un cambio espectacular, pero evita sustos silenciosos.
En cuanto a errores, hay varios arreglos que apuntan directamente a problemas concretos que podían romper configuraciones. Se corrige el uso de –lport dentro de bloques , que no funcionaba correctamente con el sistema de múltiples sockets. También se ha solucionado un fallo poco común pero crítico: un ASSERT() que podía aparecer cuando se usaba TCP con TAP sin configuración IP. No era algo frecuente, pero cuando ocurría, rompía todo. Y eso, simplemente, no es aceptable en un software de red.
Más abajo, en la parte menos visible pero igual de relevante, hay mejoras de compatibilidad. OpenVPN 2.7.1 ahora permite que DCO funcione en sistemas Linux big-endian, concretamente en arquitecturas como MIPS y PowerPC. También se ha extendido el soporte a sistemas FreeBSD que no cuentan con IPv4 en el kernel, y se ha corregido el funcionamiento de –enable-async-push en FreeBSD 15. No es glamuroso, pero es el tipo de trabajo que mantiene vivo un proyecto serio: compatibilidad real, no solo marketing.
Y hay un detalle que, aunque pequeño, rompe con una limitación bastante absurda: a partir de esta versión, OpenVPN deja de invalidar contraseñas de clave privada de más de 64 caracteres. Sí, hasta ahora eso pasaba. Y sí, no tenía mucho sentido en un contexto donde la seguridad debería permitir precisamente contraseñas más largas, no restringirlas.
Si lo miras con frialdad, esta actualización no busca titulares. No introduce una gran revolución ni una función que vaya a aparecer en todos los blogs. Pero aquí viene la parte incómoda: ese tipo de actualizaciones son precisamente las que separan un software fiable de uno que solo evoluciona de cara a la galería. OpenVPN está afinando, corrigiendo y adaptándose. No está intentando impresionarte. Está intentando funcionar mejor.
Fuente: 9to5linux
Añadir comentario
Comentarios