OpenVPN 2.7.0 veröffentlicht: Alle Neuerungen

Am von Felix Bauer / 0 Kommentare

OpenVPN hat Version 2.7.0 als neues Feature-Release veröffentlicht (Release-Datum: 11. Februar 2026). Im Fokus stehen vor allem mehr Flexibilität für Server-Betreiber, spürbare Verbesserungen unter Windows sowie Modernisierungen bei Kryptografie und Data-Channel-Handling.

OpenVPN 2.7.0 ist kein “kleines Wartungsupdate”, sondern bringt echte Substanz: Multi-Socket auf Serverseite, deutlich bessere DNS-Unterstützung clientseitig und spürbare Windows-Verbesserungen. Wer OpenVPN in komplexeren Produktionsumgebungen nutzt (Multi-Interface, Split-DNS, mehrere Listener), sollte sich 2.7.0 ansehen, aber Upgrade-Tests (vor allem unter Windows) einplanen.

1) Multi-Socket-Support: Ein Server mit mehreren Adressen, Ports und Protokollen.

Die größte Neuerung ist der Multi-Socket-Support für Server. Damit kann eine OpenVPN-Server-Instanz mehrere Kombinationen aus Adresse, Port und Protokoll parallel bedienen. Das vereinfacht Setups, bei denen man bisher mehrere Server-Prozesse starten musste (z. B. UDP und TCP parallel, mehrere Interfaces, mehrere Ports).

Praxisnutzen:

  • weniger Prozess-Wildwuchs
  • konsistentere Konfiguration
  • leichteres Betreiben von Dual-Stack/Multi-Interface-Setups

2) DNS wird deutlich besser: Es gibt neue Client-Implementierungen (inklusive Windows).

OpenVPN 2.7.0 verbessert die Client-Unterstützung für DNS-Optionen spürbar. Besonders wichtig sind die integrierten Client-Implementierungen für Linux/BSD/macOS und die neue Windows-Client-Implementierung, die Features wie Split-DNS und DNSSEC besser unterstützen.

Das ist relevant, weil DNS in der Praxis oft der Auslöser für die Fehlermeldung „VPN verbunden, aber irgendwas geht nicht” ist (Name Resolution, Split-Tunnel-Szenarien, interne Zonen etc.).

3) Windows-Änderungen: Architektur-Updates, WFP und Adapter “on demand”

Unter Windows gab es mehrere architektonische Anpassungen:

  • Das Flag „block-local” wird nun über die Windows Filtering Platform (WFP) durchgesetzt.
  • Netzwerk-Adapter werden bei Bedarf erzeugt („generated on demand“), was das Handling in manchen Umgebungen robuster machen soll.
  • Für Upgrades ist außerdem wichtig, dass Wintun nicht mehr unterstützt wird (je nach Setup bedeutet das, dass man auf DCO/andere Treiberpfade umstellt).

4) DCO und Data Channel: mehr Performance-Potenzial, neue Checks

OpenVPN 2.7 bringt auch Weiterentwicklungen rund um Data Channel Offload (DCO) und die Data-Channel-Verarbeitung. Unter anderem wird Support für das neue Upstream DCO Linux Kernel Module hervorgehoben.

Zusätzlich wurden laut Release Notes die Schutzmechanismen und Details im Data Channel verbessert, beispielsweise das AES-GCM Usage Limit und das Paketformat/Keying.

5) Dynamischere Client-Updates: PUSH_UPDATE ohne Reconnect

Neu ist außerdem die Unterstützung für eine PUSH_UPDATE-Control-Channel-Message. Damit können Server bestimmte Client-Optionen, wie beispielsweise Routing oder DNS-Konfiguration, aktualisieren, ohne dass zwingend eine erneute Verbindung nötig ist.

Das ist in der Praxis spannend für:

  • Netzwechsel, die nur DNS/Routen betreffen
  • Policy-Updates (z. B. Split-Tunnel-Routen nachschieben)
  • weniger Verbindungsabbrüche bei Änderungen

6) Kryptografie-Modernisierung: mbedTLS 4 und TLS 1.3 (mit aktuellen mbedTLS Builds)

Zu den Highlights von OpenVPN 2.7 zählen auch der mbedTLS 4-Support sowie der TLS 1.3-Support mit sehr aktuellen mbedTLS-Versionen. Für Umgebungen, die bewusst auf mbedTLS (statt OpenSSL) setzen, ist das ein wichtiger Schritt in Richtung „modern crypto”.

7) Security: Probleme aus Release Candidates sind in 2.7.0 geschlossen

Im Vorfeld der Stable-Version wurden in den Release Candidates mehrere Schwachstellen und Logikfehler beseitigt. Unter anderem wurde über CVE-2025-12106 (Heap Buffer Overread in frühen 2.7-Alphas/RCs) sowie weitere Fixes rund um HMAC-Verification und Stabilität unter Windows berichtet. Diese Punkte sind in der Stable-Version 2.7.0 adressiert.

Upgrade-Hinweise (kurz und praxisnah)

Wenn du von 2.6.x auf 2.7.0 gehst, sind vor allem diese Punkte prüfenswert:

  • Windows: Wintun fällt weg, Treiberpfad und DCO-Szenarien prüfen.
  • Server-Setups: Multi-Socket kann Konfigurationen vereinfachen, aber teste dein Setup (Firewall/NAT, mehrere Listener, Monitoring).
  • DNS: Neue Client-Implementierungen können Verhalten ändern (im Guten, aber dennoch testen) besonders bei Split-DNS.
Letzte Aktualisierung: 14. Februar 2026
Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant und IT Fachjournalist (Themen: Tech, IT-Sicherheit und Datenschutz). Felix Bauer ist seit 20 Jahren in der IT-Sicherheitsbranche tätig. Sein Hauptschwerpunkt liegt auf dem Thema „Virenschutz für Endanwender“. Felix Bauer ist OpenSource-Evangelist und besitzt den Master of Science in Security and Forensic Computing. Felix Bauer hat bereits an zahlreichen IT-Sicherheitskonferenzen und sonstigen IT-Sicherheitstagungen teilgenommen und diverse professionelle Qualifikationen im Bereich IT-Sicherheit erworben. Er ist Mitbegründer des Projekts bleib-Virenfrei.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Aufgrund einer enormen Zunahme von Spam-Kommentaren muss ich alle Kommentare manuell freischalten. Es kann daher zu Verzögerungen bei der Veröffentlichung von Kommentaren kommen.