OpenVPN 2.7 débarque avec DCO sur Linux, mbedTLS 4, et une nouvelle approche pratique dans DNS et Windows

OpenVPN 2.7 débarque avec DCO sur Linux, mbedTLS 4, et une nouvelle approche pratique dans DNS et Windows
Share on Pinterest Share on LinkedIn

OpenVPN, l’un des noms les plus reconnus dans le monde VPN, vient de publier OpenVPN 2.7.0 en tant que nouvelle version stable de son logiciel pour établir des connexions sécurisées tant en point à point qu’en site-à-site. Dans un secteur où de nombreuses améliorations sont souvent discrètes et cumulatives, cette version introduit des changements visibles concrètement : support pour le Data Channel Offload (DCO) via le nouveau module ovpn sous Linux, compatibilité avec mbedTLS 4, avancées sur TLS 1.3 (avec des versions de mbedTLS « en pointe »), et une évolution majeure dans la gestion du DNS et l’architecture sous Windows.

La lecture pour un média technologique est claire : OpenVPN 2.7 ne se limite pas à « affiner » le produit, mais tente de moderniser des éléments clefs qui influencent la performance, la stabilité opérationnelle et la sécurité. Et cela à un moment où de nombreuses organisations continuent de dépendre d’OpenVPN comme pilier de leur accès distant, interconnexion de sites, environnements hybrides ou compatibilité avec des infrastructures héritées.

DCO sous Linux : la VPN se rapproche du noyau pour gagner en efficacité

Le principal point technique d’OpenVPN 2.7 est la compatibilité avec le module DCO (Data Channel Offload). L’objectif de DCO est de réduire la surcharge du canal de données en déplaçant une partie du traitement vers le noyau, cherchant à améliorer l’efficacité et la performance dans des scénarios de fort trafic ou avec de nombreux clients simultanés.

Dans OpenVPN 2.7, le logiciel utilisateur peut désormais fonctionner avec le module ovpn DCO « en amont », c’est-à-dire intégré dans le noyau Linux principal. La disponibilité finale dépendra du cycle d’adoption de chaque distribution et de la version du noyau fournie, mais le projet le présente comme une voie d’avenir pour faire du offload une composante standard de l’écosystème Linux, réduisant la dépendance à des modules externes. Pour ceux nécessitant le module sur des noyaux actuels qui ne le supportent pas encore, des backports via le projet ovpn-backports sont prévus, ce qui est courant dans les milieux d’entreprise où la mise à jour du noyau n’est pas immédiate.

Concrètement, cela offre une décision technique aux administrateurs système : tester la solution DCO dans des environnements de test ou des services spécifiques où la performance est critique, puis planifier la migration lorsque le support sera parfaitement aligné avec la distribution et sa politique de maintenance.

Multi-socket : un seul serveur, plusieurs adresses et moins de complexité

Une autre amélioration ayant un impact direct sur les déploiements réels est le support multi-sockets côté serveur. OpenVPN 2.7 permet à une seule instance de gérer plusieurs adresses, ports ou même protocoles, évitant la duplication de configurations ou le lancement de processus parallèles pour couvrir des scénarios courants tels que :

  • écoute simultanée en IPv4 et IPv6,
  • serveurs multi-homed avec plusieurs interfaces,
  • nécessité d’exposer le service sur plusieurs ports pour des raisons de compatibilité ou de politique réseau.

Ce qui peut sembler une simple commodité réduit en réalité la complexité opérationnelle dans des environnements avec des centaines ou des milliers d’utilisateurs, facilite les migrations et simplifie la maintenance.

PUSH_UPDATE : modifier routes et DNS sans couper la connexion

OpenVPN 2.7 introduit la prise en charge côté client d’un nouveau message dans le canal de contrôle : PUSH_UPDATE. Celui-ci permet à un serveur d’envoyer des changements d’options — comme des routes ou la configuration DNS — sans obliger la reconnexion.

De plus, la version offre un support « minimal » côté serveur, avec de nouvelles commandes dans l’interface de gestion pour émettre des mises à jour ciblées vers certains clients ou à large échelle. Pour les équipes IT, cela signifie moins d’interruptions lors de modifications des politiques de routage, split tunneling, résolutions internes ou modifications de l’infrastructure DNS. En définitive, la VPN n’est plus un « tout ou rien » lorsque la configuration évolue.

DNS : plus de cohérence entre plateformes et fonctionnalités avancées sous Windows

La gestion du DNS a toujours été un point sensible pour les clients VPN, notamment quand il s’agit de gérer plusieurs domaines d’entreprise, résolutions internes ou politiques de sécurité. OpenVPN 2.7 renforce cette stabilité avec « plus de DNS intégrés » :

  • inclut des implémentations client pour Linux, BSD et macOS par défaut,
  • dévoile une nouvelle implémentation sous Windows intégrant des fonctions comme le split DNS et la prise en charge de DNSSEC.

Ce choix vise à uniformiser le comportement entre systèmes et permettre au client d’appliquer des politiques DNS modernes sans dépendre de solutions externes ou intégrations fragiles.

Par ailleurs, deux nouvelles variables d’environnement sont introduites pour gérer la redirection de la passerelle par défaut vers des plugins comme NetworkManager. Un détail technique qui peut faire la différence entre une intégration propre et une configuration qui casse avec de petits changements dans les routes.

Windows : win-dco devient la norme et wintun disparaît

Du côté Windows, les nouveautés sont significatives. OpenVPN 2.7 confirme des changements d’architecture et de sécurité, et marque une étape importante : la suppression du support du driver wintun et win-dco devient le driver par défaut, avec tap-windows6 restant une alternative pour certains cas n’étant pas couverts.

De plus, des améliorations visent à renforcer la sécurité et la stabilité du client Windows :

  • le drapeau block-local est désormais appliqué plus efficacement via WFP (Windows Filtering Platform),
  • les adaptateurs réseau peuvent être créés à la demande,
  • le service automatique peut fonctionner en tant qu’utilisateur sans privilèges,
  • le driver win-dco supporte désormais le mode serveur.

Pour les environnements d’entreprise, le message est clair : OpenVPN modernise sa façon de fonctionner sous Windows, avec un design plus conforme aux bonnes pratiques : moins de privilèges, plus de contrôle via le filtrage, une base de driver qui guide l’évolution du produit.

Canal de données : limites sur AES-GCM et clés par époque

Du point de vue cryptographique et de la robustesse du canal, OpenVPN 2.7 apporte des améliorations telles que :

  • l’application de limites d’utilisation pour AES-GCM,
  • clés de données par époque (epoch data keys) et un format de paquets revu.

Ces changements situent la version à la frontière entre sécurité et opérationnel : ils visent à renforcer la sécurité lors de l’utilisation de chiffrages AEAD en haute volumétrie, tout en modernisant la gestion des clés et des paquets dans le canal de données. Dans des déploiements intensifs, ces détails comptent : ce sont précisément ces nuances qui différencient une VPN « fonctionnelle » d’une VPN sûre et durable à long terme.

Une version qui demande de la planification (et offre des marges d’amélioration)

OpenVPN 2.7.0 arrive avec une liste de nouveautés qui, dans leur ensemble, dessinent une évolution concrète : une meilleure base pour la performance (DCO), une plus grande flexibilité dans les déploiements (multi-socket), davantage de contrôle sans interruption (PUSH_UPDATE) et une avancée pratique pour le DNS et Windows. Pour les équipes techniques, la démarche raisonnable consiste à tester et planifier : valider win-dco dans des environnements Windows, vérifier la compatibilité avec la suppression de wintun, et évaluer l’intégration du module ovpn DCO selon le noyau utilisé en production.

Ce n’est pas une mise à jour « cosmétique » : c’est une version qui touche aux fondamentaux. Et cela, en technologie, est souvent une bonne indication lorsqu’il est réalisé de façon claire et cohérente.

Questions Fréquentes

Qu’est-ce que l’OpenVPN DCO et pourquoi est-il important dans OpenVPN 2.7 ?
Le DCO (Data Channel Offload) permet de déléguer une partie du traitement du canal de données à un module noyau (ovpn), dans le but de réduire la surcharge et d’améliorer l’efficacité, notamment dans les scénarios à fort trafic.

OpenVPN 2.7 permet-il de changer les DNS ou les routes sans déconnecter la VPN ?
Oui. La prise en charge de PUSH_UPDATE permet au serveur d’envoyer des mises à jour d’options comme des routes ou le DNS sans forcer la reconnexion du client, réduisant ainsi les interruptions.

Quels changements sous Windows avec OpenVPN 2.7 et le driver wintun ?
OpenVPN 2.7 supprime le support de wintun et adopte win-dco comme driver par défaut ; tap-windows6 demeure une alternative pour certains cas. Il renforce aussi le filtrage via WFP et réduit les privilèges du service automatique.

Quelles améliorations pour le canal de données avec AES-GCM dans OpenVPN 2.7 ?
La version introduit des limites d’utilisation pour AES-GCM, ajoute une gestion par clés de données par époque et un format de paquets révisé, visant à renforcer la sécurité cryptographique dans les déploiements intensifs.

via : Actualisation OpenVPN 2.7

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

CXMT atteint un plafond dans la DRAM : les restrictions sur les équipements freinent son expansion et le « yield » continue à impacter

IBM stimule le stockage autonome avec FlashSystem et des agents d’intelligence artificielle agéntique

OpenVPN 2.7 débarque avec DCO sur Linux, mbedTLS 4, et une nouvelle approche pratique dans DNS et Windows

Zscaler achète SquareX pour renforcer le navigateur avec Zero Trust à l’ère de l’IA

Linux 6.19 est déjà là : plus de sécurité PCIe, de nouveaux syscalls et pilotes pour le matériel « de nouvelle génération »

Fastly établit un trimestre record et avertit : l’IA modifie déjà le trafic Internet