OpenVPN ha publicado OpenVPN 2.7.0 como nueva versión estable de su popular solución de red privada virtual (VPN), utilizada tanto en entornos domésticos como en empresas para crear conexiones punto a punto o site-to-site con cifrado y autenticación robustos. El lanzamiento llega en un momento oportuno para administradores de sistemas y responsables de redes: no solo incorpora funciones largamente esperadas, sino que también refuerza piezas críticas del “día a día” —rendimiento del canal de datos, gestión de DNS, y arquitectura en Windows— con cambios que afectan directamente a la operativa y a la experiencia del usuario.
Entre las novedades más destacadas de OpenVPN 2.7 figura el soporte para el módulo DCO (Data Channel Offload) en Linux, una apuesta clara por llevar parte del trabajo del canal de datos al kernel para mejorar eficiencia y rendimiento. A esto se suma compatibilidad con mbedTLS 4, avances para TLS 1.3 con versiones “punteras” de la librería, y una mejora significativa en cómo clientes y servidores gestionan actualizaciones de rutas o DNS sin obligar a reconectar.
DCO en Linux: el canal de datos mira al kernel
El soporte de OpenVPN DCO es, probablemente, el titular técnico de esta versión. OpenVPN 2.7 ya puede trabajar con el módulo ovpn de DCO en Linux, una pieza que el proyecto sitúa como parte del camino hacia conexiones VPN más rápidas y con menos sobrecarga en espacio de usuario. En la práctica, el enfoque DCO busca que la gestión del canal de datos sea más eficiente al delegar ciertas tareas al kernel, algo especialmente interesante en servidores con muchas sesiones concurrentes o en despliegues donde cada milisegundo cuenta.
El matiz importante es el calendario real de adopción: el módulo ovpn forma parte del kernel Linux a partir de la rama 6.16, pero su disponibilidad “de serie” dependerá de cuándo lo integren las distribuciones en sus kernels empaquetados. Para quienes necesiten activar DCO en kernels anteriores, OpenVPN mantiene un proyecto de backports (ovpn-backports) que permite compilar e instalar el módulo fuera del árbol principal.
En términos de operación, esto abre un escenario mixto: organizaciones que ya están en kernels recientes podrán explorar DCO con menos fricción, mientras que otras deberán valorar si les compensa incorporar backports o esperar a que su distribución lo entregue como parte del mantenimiento habitual.
Multi-socket: una sola instancia, más direcciones y más flexibilidad
OpenVPN 2.7 introduce también multi-socket en modo servidor, una mejora pensada para infraestructuras reales, donde un mismo servicio puede necesitar escuchar en múltiples direcciones, puertos o protocolos sin multiplicar procesos ni configuraciones paralelas.
Este avance resulta especialmente útil en escenarios habituales: servidores con IPv4 e IPv6 a la vez, sistemas multihomed con varias interfaces, o despliegues donde se quiere ofrecer redundancia o compatibilidad (por ejemplo, diferentes puertos de entrada) manteniendo una sola instancia de OpenVPN. En la práctica, reduce complejidad, facilita migraciones y ayuda a estandarizar configuraciones.
PUSH_UPDATE: cambios en rutas y DNS sin reconectar
Otra de las novedades con impacto directo en la experiencia del usuario es el soporte del mensaje de canal de control PUSH_UPDATE. OpenVPN 2.7 incorpora soporte en el cliente para recibir actualizaciones de opciones —como rutas o configuración de DNS— sin necesidad de forzar una reconexión completa.
En paralelo, aparece un soporte inicial del lado del servidor, con nuevos comandos en la interfaz de gestión para emitir estas actualizaciones (por ejemplo, enviarlas de forma amplia o dirigidas a clientes concretos). En despliegues corporativos, donde cambios de enrutado, split tunneling o DNS se ajustan con frecuencia, esta capacidad evita cortes innecesarios y reduce incidencias del tipo “se cayó la VPN” cuando, en realidad, solo había que modificar parámetros.
DNS más “de serie”: split DNS, DNSSEC y coherencia multiplataforma
OpenVPN 2.7 pone especial foco en la gestión de DNS del cliente, un punto históricamente delicado cuando se combina VPN con políticas corporativas, dominios internos y resoluciones condicionadas por la ubicación.
La versión mejora el soporte de opciones DNS incluyendo implementaciones de cliente para Linux, BSD y macOS dentro de la instalación por defecto, y estrena una nueva implementación específica en Windows para habilitar capacidades como split DNS y DNSSEC. En términos simples: más control para decidir qué dominios deben resolverse por la VPN y cuáles deben seguir saliendo por el resolutor local, con herramientas más consistentes entre plataformas.
Además, OpenVPN incorpora dos nuevas variables de entorno para comunicar a plugins (como NetworkManager) cómo se desea gestionar la redirección de la puerta de enlace por defecto, un detalle técnico que suele marcar la diferencia entre una integración limpia y una tarde de pruebas con rutas que no terminan de cuadrar.
Windows se refuerza: win-dco gana protagonismo y wintun se queda fuera
En Windows, OpenVPN 2.7 llega con un paquete de cambios de calado. Uno de los más relevantes a nivel de compatibilidad y mantenimiento es que se elimina el soporte para el driver wintun: a partir de ahora, win-dco pasa a ser el driver por defecto y tap-windows6 queda como solución de respaldo para casos no cubiertos por win-dco.
No es un cambio menor, porque impacta en instalaciones existentes, documentación interna y procedimientos de soporte. Junto a ello, OpenVPN 2.7 introduce mejoras arquitectónicas: el flag block-local se refuerza mediante filtros WFP (Windows Filtering Platform), los adaptadores de red pueden generarse bajo demanda, el servicio automático en Windows puede ejecutarse como usuario sin privilegios, y el driver win-dco suma soporte para modo servidor. La dirección es clara: menos superficie de riesgo, más control del tráfico y una arquitectura más coherente con prácticas modernas de seguridad.
Canal de datos: límites AES-GCM y claves por época
En el apartado criptográfico y de seguridad operativa, OpenVPN 2.7 mejora el canal de datos con medidas como el límite de uso para AES-GCM y la introducción de epoch data keys junto a un formato de paquete ajustado. Este tipo de cambios suelen sonar “internos”, pero son importantes: refuerzan garantías en el uso de cifrados modernos y marcan el tipo de evolución que el software necesita para seguir siendo fiable en despliegues exigentes.
Incluso un detalle que suele generar confusión —el control de “Recursive Routing”— se vuelve más granular: en lugar de aplicar un corte amplio, ahora solo descarta paquetes dentro del túnel si coinciden con el destino IP, protocolo y puerto necesarios para alcanzar el servidor VPN, reduciendo falsos positivos y comportamientos inesperados.
Un lanzamiento con lecturas prácticas
OpenVPN 2.7.0 se publica como versión comunitaria con descargas disponibles y con una hoja de ruta que apunta a modernizar piezas críticas sin romper el equilibrio entre compatibilidad y avance técnico. Para equipos de IT, el mensaje es doble: por un lado, aparece un camino claro hacia mejor rendimiento (DCO) y mejor gestión dinámica (PUSH_UPDATE); por otro, hay cambios que conviene planificar —especialmente en Windows por la retirada de wintun y el protagonismo de win-dco— antes de un despliegue masivo.
Preguntas frecuentes
¿Qué aporta OpenVPN 2.7 a nivel de rendimiento con DCO en Linux?
La compatibilidad con DCO permite offload del canal de datos al kernel mediante el módulo ovpn, lo que puede reducir sobrecarga y mejorar rendimiento, especialmente en servidores con muchas conexiones o alto caudal.
¿Qué kernel de Linux hace falta para usar el módulo ovpn de OpenVPN DCO sin backports?
El módulo ovpn forma parte del kernel Linux a partir de Linux 6.16. En kernels anteriores, puede utilizarse el proyecto ovpn-backports para disponer del módulo.
¿Qué significa la eliminación de wintun en OpenVPN 2.7 para usuarios de Windows?
OpenVPN 2.7 elimina el soporte de wintun y establece win-dco como driver por defecto; tap-windows6 queda como alternativa para escenarios no cubiertos por win-dco. En migraciones, conviene revisar procedimientos y compatibilidades.
¿Cómo mejora OpenVPN 2.7 el DNS en entornos corporativos?
Introduce mejoras en clientes para Linux/BSD/macOS y una nueva implementación en Windows con soporte de split DNS y DNSSEC, además de herramientas para integrar mejor la redirección de gateway con plugins como NetworkManager.
