ProHoster > Blog > internet nuus > OpenVPN 2.6.0 beskikbaar

OpenVPN 2.6.0 beskikbaar

Na twee en 'n half jaar sedert die publikasie van die 2.5-tak, is die vrystelling van OpenVPN 2.6.0 voorberei, 'n pakket vir die skep van virtuele privaat netwerke waarmee u 'n geënkripteerde verbinding tussen twee kliëntmasjiene kan organiseer of 'n gesentraliseerde VPN-bediener kan verskaf vir die gelyktydige werking van verskeie kliënte. Die OpenVPN-kode word onder die GPLv2-lisensie versprei, klaargemaakte binêre pakkette word gegenereer vir Debian, Ubuntu, CentOS, RHEL en Windows.

Belangrikste innovasies:

  • Bied ondersteuning vir 'n onbeperkte aantal verbindings.
  • Die ovpn-dco kernmodule is ingesluit, wat jou toelaat om VPN-werkverrigting aansienlik te versnel. Versnelling word bewerkstellig deur alle enkripsiebewerkings, pakkieverwerking en kommunikasiekanaalbestuur na die Linux-kernkant te skuif, wat die bokoste wat verband hou met kontekswisseling uitskakel, dit moontlik maak om werk te optimaliseer deur direk toegang tot die interne kern-API's te verkry en stadige data-oordrag tussen kern uitskakel en gebruikersspasie (enkripsie, dekripsie en roetering word deur die module uitgevoer sonder om verkeer na 'n hanteerder in gebruikersruimte te stuur).

    In die toetse wat uitgevoer is, in vergelyking met die konfigurasie gebaseer op die tun-koppelvlak, het die gebruik van die module aan die kliënt- en bedienerkant met die AES-256-GCM-syfer dit moontlik gemaak om 'n 8-voudige toename in deurset (vanaf 370) Mbit/s tot 2950 Mbit/s). Wanneer die module slegs aan die kliëntkant gebruik word, het die deurset vir uitgaande verkeer drievoudig toegeneem en nie vir inkomende verkeer verander nie. Wanneer die module slegs aan die bedienerkant gebruik word, het deurset met 4 keer vir inkomende verkeer en met 35% vir uitgaande verkeer toegeneem.

  • Dit is moontlik om TLS-modus te gebruik met selfondertekende sertifikate (wanneer jy die "-eweknie-vingerafdruk"-opsie gebruik, kan jy die "-ca" en "-capath" parameters weglaat en vermy om 'n PKI-bediener gebaseer op Easy-RSA of soortgelyke sagteware).
  • Die UDP-bediener implementeer 'n koekie-gebaseerde verbinding-onderhandelingsmodus, wat 'n HMAC-gebaseerde koekie as die sessie-identifiseerder gebruik, wat die bediener toelaat om staatlose verifikasie uit te voer.
  • Bygevoeg ondersteuning vir die bou met die OpenSSL 3.0-biblioteek. Bygevoeg "--tls-cert-profile insecure" opsie om die minimum OpenSSL sekuriteitsvlak te kies.
  • Bygevoeg nuwe beheeropdragte remote-entry-count en remote-entry-get om die aantal eksterne verbindings te tel en 'n lys daarvan te vertoon.
  • Tydens die sleutelooreenkomsproses is die EKM (Exported Keying Material, RFC 5705)-meganisme nou die voorkeurmetode vir die verkryging van sleutelgenereringsmateriaal, in plaas van die OpenVPN-spesifieke PNS-meganisme. Om EKM te gebruik, word die OpenSSL-biblioteek of mbed TLS 2.18+ vereis.
  • Verenigbaarheid met OpenSSL in FIPS-modus word verskaf, wat die gebruik van OpenVPN moontlik maak op stelsels wat voldoen aan FIPS 140-2-sekuriteitsvereistes.
  • mlock implementeer 'n kontrole om te verseker dat voldoende geheue gereserveer is. Wanneer minder as 100 MB RAM beskikbaar is, word setrlimit() geroep om die limiet te verhoog.
  • Het die "--eweknie-vingerafdruk"-opsie bygevoeg om die geldigheid of binding van 'n sertifikaat na te gaan met 'n vingerafdruk gebaseer op die SHA256-hash, sonder om tls-verify te gebruik.
  • Skripte word voorsien met die opsie van uitgestelde stawing, geïmplementeer met behulp van die "-auth-user-pass-verify" opsie. Ondersteuning om die kliënt in te lig oor hangende stawing wanneer uitgestelde stawing gebruik word, is by skrifte en inproppe gevoeg.
  • Bygevoeg verenigbaarheidsmodus (-compat-modus) om verbindings met ouer bedieners met OpenVPN 2.3.x of ouer weergawes toe te laat.
  • In die lys wat deur die “--data-ciphers”-parameter gegaan is, word die voorvoegsel “?” toegelaat. om opsionele syfers te definieer wat slegs gebruik sal word as dit in die SSL-biblioteek ondersteun word.
  • Bygevoeg opsie "-sessie-time-out" waarmee jy die maksimum sessie tyd kan beperk.
  • Die konfigurasielêer laat toe om 'n naam en wagwoord met behulp van die merker te spesifiseer .
  • Die vermoë om die kliënt se MTU dinamies op te stel word verskaf, gebaseer op die MTU-data wat deur die bediener versend word. Om die maksimum MTU-grootte te verander, is die opsie "—tun-mtu-max" bygevoeg (verstek is 1600).
  • Bygevoeg "--max-packet-size" parameter om die maksimum grootte van beheer pakkies te definieer.
  • Ondersteuning vir OpenVPN-bekendstellingsmodus verwyder via inetd. Die ncp-deaktiveer opsie is verwyder. Die verifieer-hash-opsie en statiese sleutelmodus is opgeskort (slegs TLS is behou). Die TLS 1.0- en 1.1-protokolle is opgeskort (die tls-version-min-parameter is by verstek op 1.2 gestel). Die ingeboude pseudo-ewekansige getalgenerator-implementering (-prng) is verwyder; die PRNG-implementering van die mbed TLS- of OpenSSL-kriptobiblioteke moet gebruik word. Ondersteuning vir PF (Packet Filtering) is gestaak. By verstek is kompressie gedeaktiveer (--laat-kompressie=nee toe).
  • Het CHACHA20-POLY1305 by die verstekkodelys gevoeg.

Bron: opennet.ru

Voeg 'n opmerking