Na última série estável do OpenVPN, 2.5, todas as diretivas relacionadas à compressão são consideradas obsoletas. Da página wiki :
A compactação não é recomendada e é um recurso que os usuários devem evitar usar. Para sinalizar isso claramente, são desencorajados e considerados recursos obsoletos
--comp-lzo.--compressA partir do 2.5, essas opções não habilitarão mais a compactação, apenas habilitarão o enquadramento de compactação para poder receber pacotes compactados.
Basicamente, essas opções agora são feitas de comandos "noop".
Por quê? Especialmente apesar do fato de a compressão ser recomendada antes da criptografia, porque remove a redundância dos dados e, portanto, faz com que pareça mais aleatório (veja, por exemplo , esta pergunta no SO). Qual é o problema?
A compactação não é recomendada porque torna a conexão vulnerável a ataques oracle , especificamente a ataques Oracle de compactação. Isso é mencionado nos documentos do OpenVPN na página de manual "openvpn" , em "Opções de protocolo":
Basicamente, se um invasor puder influenciar os dados de texto simples enviados pela VPN, ele poderá observar a mudança no tamanho compactado (devido aos dados serem mais ou menos compressíveis) e descobrir algo sobre os dados, mesmo que estejam criptografados.
Veja, por exemplo , Compression Oracle Attacks on VPN Networks (Nafeez) para obter detalhes e confirme a59fd147 no repositório OpenVPN Github.