بعد مرور عامين ونصف منذ نشر الفرع 2.5، تم إعداد إصدار OpenVPN 2.6.0، وهو عبارة عن حزمة لإنشاء شبكات خاصة افتراضية تسمح لك بتنظيم اتصال مشفر بين جهازين عميلين أو توفير خادم VPN مركزي للتشغيل المتزامن لعدة عملاء. يتم توزيع كود OpenVPN بموجب ترخيص GPLv2، ويتم إنشاء حزم ثنائية جاهزة لأنظمة Debian وUbuntu وCentOS وRHEL وWindows.
الابتكارات الرئيسية:
- يوفر الدعم لعدد غير محدود من الاتصالات.
- تم تضمين وحدة ovpn-dco kernel، والتي تتيح لك تسريع أداء VPN بشكل كبير. يتم تحقيق التسريع عن طريق نقل جميع عمليات التشفير ومعالجة الحزم وإدارة قنوات الاتصال إلى جانب نواة Linux، مما يلغي الحمل المرتبط بتبديل السياق، ويجعل من الممكن تحسين العمل عن طريق الوصول مباشرة إلى واجهات برمجة التطبيقات الداخلية للنواة ويزيل بطء نقل البيانات بين النواة ومساحة المستخدم (يتم تنفيذ التشفير وفك التشفير والتوجيه بواسطة الوحدة دون إرسال حركة المرور إلى معالج في مساحة المستخدم).
في الاختبارات التي تم إجراؤها، مقارنة بالتكوين المعتمد على واجهة tun، أدى استخدام الوحدة النمطية على جانبي العميل والخادم باستخدام تشفير AES-256-GCM إلى تحقيق زيادة قدرها 8 أضعاف في الإنتاجية (من 370 ميجابت/ثانية إلى 2950 ميجابت/ثانية). عند استخدام الوحدة النمطية فقط على جانب العميل، زاد معدل النقل ثلاثة أضعاف بالنسبة لحركة المرور الصادرة ولم يتغير بالنسبة لحركة المرور الواردة. عند استخدام الوحدة فقط على جانب الخادم، زادت الإنتاجية بمقدار 4 مرات لحركة المرور الواردة وبنسبة 35% لحركة المرور الصادرة.
- من الممكن استخدام وضع TLS مع الشهادات الموقعة ذاتيًا (عند استخدام خيار "-peer-fingerprint"، يمكنك حذف المعلمات "-ca" و"-capath" وتجنب تشغيل خادم PKI استنادًا إلى Easy-RSA أو برامج مماثلة).
- يطبق خادم UDP وضع تفاوض الاتصال المستند إلى ملف تعريف الارتباط، والذي يستخدم ملف تعريف الارتباط المستند إلى HMAC كمعرف الجلسة، مما يسمح للخادم بإجراء التحقق عديم الحالة.
- تمت إضافة دعم للبناء باستخدام مكتبة OpenSSL 3.0. تمت إضافة خيار "-tls-cert-profile insecure" لتحديد الحد الأدنى لمستوى أمان OpenSSL.
- تمت إضافة أوامر التحكم الجديدة Remote-entry-count وremote-entry-get لحساب عدد الاتصالات الخارجية وعرض قائمة بها.
- أثناء عملية اتفاقية المفتاح، أصبحت آلية EKM (مادة المفاتيح المصدرة، RFC 5705) هي الطريقة المفضلة للحصول على مادة إنشاء المفتاح، بدلاً من آلية PRF الخاصة بـ OpenVPN. لاستخدام EKM، يلزم وجود مكتبة OpenSSL أو mbed TLS 2.18+.
- يتم توفير التوافق مع OpenSSL في وضع FIPS، مما يسمح باستخدام OpenVPN على الأنظمة التي تلبي متطلبات الأمان FIPS 140-2.
- يقوم mlock بتنفيذ فحص للتأكد من حجز ذاكرة كافية. عندما يتوفر أقل من 100 ميغابايت من ذاكرة الوصول العشوائي (RAM)، يتم استدعاء setrlimit() لزيادة الحد.
- تمت إضافة خيار "--peer-fingerprint" للتحقق من صحة أو ربط الشهادة باستخدام بصمة الإصبع بناءً على تجزئة SHA256، دون استخدام tls-verify.
- يتم تزويد البرامج النصية بخيار المصادقة المؤجلة، والذي يتم تنفيذه باستخدام خيار "-auth-user-pass-verify". تمت إضافة دعم لإعلام العميل بشأن المصادقة المعلقة عند استخدام المصادقة المؤجلة إلى البرامج النصية والمكونات الإضافية.
- تمت إضافة وضع التوافق (-compat-mode) للسماح بالاتصالات بالخوادم الأقدم التي تعمل بنظام OpenVPN 2.3.x أو الإصدارات الأقدم.
- في القائمة التي تم تمريرها عبر المعلمة "--data-ciphers"، يُسمح بالبادئة "؟". لتحديد الأصفار الاختيارية التي سيتم استخدامها فقط إذا كانت مدعومة في مكتبة SSL.
- تمت إضافة خيار "-session-timeout" الذي يمكنك من خلاله تحديد الحد الأقصى لوقت الجلسة.
- يسمح ملف التكوين بتحديد اسم وكلمة مرور باستخدام العلامة .
- يتم توفير القدرة على تكوين وحدة الإرسال الكبرى الخاصة بالعميل ديناميكيًا، استنادًا إلى بيانات وحدة الإرسال الكبرى التي يرسلها الخادم. لتغيير الحد الأقصى لحجم MTU، تمت إضافة الخيار "—tun-mtu-max" (الافتراضي هو 1600).
- تمت إضافة معلمة "-max-packet-size" لتحديد الحد الأقصى لحجم حزم التحكم.
- تمت إزالة الدعم لوضع تشغيل OpenVPN عبر inetd. تمت إزالة خيار تعطيل ncp. لقد تم إهمال خيار التحقق من التجزئة ووضع المفتاح الثابت (تم الاحتفاظ بـ TLS فقط). تم إهمال بروتوكولي TLS 1.0 و1.1 (يتم تعيين المعلمة tls-version-min على 1.2 افتراضيًا). تمت إزالة تطبيق مولد الأرقام العشوائية الزائفة (-prng)، ويجب استخدام تطبيق PRNG من مكتبات تشفير mbed TLS أو OpenSSL. تم إيقاف دعم PF (تصفية الحزم). بشكل افتراضي، يتم تعطيل الضغط (--allow-compression=no).
- تمت إضافة CHACHA20-POLY1305 إلى قائمة التشفير الافتراضية.
المصدر: opennet.ru