даступны OpenVPN 2.6.0

Пасля двух з паловай гадоў з моманту публікацыі галіны 2.5 падрыхтаваны рэліз OpenVPN 2.6.0, пакета для стварэння віртуальных дзеляў сетак, які дазваляе арганізаваць шыфраванае злучэнне паміж двума кліенцкімі машынамі або забяспечыць працу цэнтралізаванага VPN-сервера для адначасовай працы некалькіх кліентаў. Код OpenVPN распаўсюджваецца пад ліцэнзіяй GPLv2, гатовыя бінарныя пакеты фармуюцца для Debian, Ubuntu, CentOS, RHEL і Windows.

Асноўныя навіны:

  • Забяспечана падтрымка неабмежаванай колькасці злучэнняў.
  • У склад уключаны модуль ядра ovpn-dco, які дазваляе істотна паскорыць прадукцыйнасць. VPN. Паскарэнне дасягаецца за кошт вынасу ўсіх аперацый шыфравання, апрацоўкі пакетаў і кіраванні каналам сувязі на бок ядра. Linux, Што дазваляе пазбавіцца ад накладных выдаткаў, звязаных з пераключэннем кантэксту, дае магчымасць аптымізаваць працу за кошт прамога звароту да ўнутраных API ядра і выключае павольную перадачу дадзеных паміж ядром і прасторай карыстальніка (шыфраванне, расшыфроўка і маршрутызацыя выконваецца модулем без адпраўкі трафіку ў апрацоўшчык).

    У праведзеных тэстах у параўнанні з канфігурацыяй на аснове інтэрфейсу tun прымяненне модуля на баку кліента і сервера пры выкарыстанні шыфра AES-256-GCM дазволіла дабіцца прыросту прапускной здольнасці ў 8 разоў (з 370 Mbit/s да 2950 Mbit/s). Пры ўжыванні модуля толькі на баку кліента прапускная здольнасць узрасла ў тры разы для выходнага трафіку і не змянілася для ўваходнага. Пры ўжыванні модуля толькі на боку сервера прапускная здольнасць узрасла ў 4 разы для ўваходнага трафіку і на 35% для выходнага.

  • Дадзеная магчымасць выкарыстання рэжыму TLS з самападпісанымі сертыфікатамі (пры ўжыванні опцыі "-peer-fingerprint" можна не паказваць параметры "-ca" і "-capath" і абысціся без запуску PKI-сервера на базе Easy-RSA або падобнага ПА).
  • У UDP-серверы рэалізаваны рэжым узгаднення злучэння на аснове Cookie, пры якім у якасці ідэнтыфікатара сеансу выкарыстоўваецца Cookie на аснове HMAC, што дазваляе серверу праводзіць верыфікацыю без захавання стану.
  • Дададзена падтрымка зборкі з бібліятэкай OpenSSL 3.0. Дададзены параметр "-tls-cert-profile insecure" для выбару мінімальнага ўзроўню бяспекі OpenSSL.
  • Дададзеныя новыя кіраўнікі каманды remote-entry-count і remote-entry-get для падліку колькасці знешніх падлучэнняў і вываду іх спісу.
  • У працэсе ўзгаднення ключоў больш прыярытэтным метадам атрымання матэрыялу для генерацыі ключоў зараз з'яўляецца механізм EKM (Exported Keying Material, RFC 5705), замест спецыфічнага механізму. OpenVPN PRF. Для ўжывання EKM патрабуецца бібліятэка OpenSSL ці mbed TLS 2.18+.
  • Забяспечана сумяшчальнасць з OpenSSL у FIPS-рэжыме, што дазваляе выкарыстоўваць OpenVPN на сістэмах, якія задавальняюць патрабаванням бяспекі FIPS 140-2.
  • У mlock рэалізавана праверка рэзервавання дастатковага памеру памяці. Пры даступнасці меней 100 МБ АЗП для падвышэння ліміту ажыццяўляецца выклік setrlimit().
  • Дададзена опцыя «-peer-fingerprint» для праверкі карэктнасці ці прывязкі сертыфіката па fingerprint-адбітку на аснове хэша SHA256, без ужывання tls-verify.
  • Для скрыптоў прадстаўлена магчымасць адкладзенай (deferred) аўтэнтыфікацыі, якая рэалізуецца пры дапамозе опцыі "-auth-user-pass-verify". У скрыптах і убудовах дададзена падтрымка інфармавання кліента аб чаканні (pending) аўтэнтыфікацыі пры ўжыванні адкладзенай аўтэнтыфікацыі.
  • Дададзены рэжым сумяшчальнасці (-compat-mode), які дазваляе падлучацца да старых сервераў, на якіх выкарыстоўваецца. OpenVPN 2.3.x ці больш старыя версіі.
  • У спісе, які перадаецца праз параметр "-data-ciphers", дазволена ўказанне прэфікса "?" для вызначэння неабавязковых шыфраў, якія будуць задзейнічаны толькі пры наяўнасці падтрымкі ў SSL-бібліятэцы.
  • Дададзена опцыя "-session-timeout" пры дапамозе якой можна абмежаваць максімальны час сеансу.
  • У файле канфігурацыі дазволена ўказанне імя і пароля пры дапамозе тэга .
  • Прадастаўлена магчымасць дынамічнай наладкі MTU кліента, на аснове дадзеных аб MTU, перададзеных серверам. Для змены максімальнага памеру MTU дададзена опцыя "-tun-mtu-max" (па змаўчанні 1600).
  • Дададзены параметр "-max-packet-size" для вызначэння максімальнага памеру кіраўнікоў пакетаў.
  • Выдалена падтрымка рэжыму запуску OpenVPN праз inetd. Выдалена опцыя ncp-disable. Абвешчаныя састарэлымі опцыя verify-hash і рэжым статычных ключоў (пакінуты толькі TLS). У разрад састарэлых перакладзены пратаколы TLS 1.0 і 1.1 (параметр tls-version-min па змаўчанні выстаўлены ў значэнне 1.2). Выдалена ўбудаваная рэалізацыя генератара псеўдавыпадковых лікаў (prng), варта выкарыстоўваць рэалізацыю PRNG з крыптаббліётакаў mbed TLS або OpenSSL. Спынена падтрымка пакетнага фільтра PF (Packet Filtering). Па змаўчанні адключаны сціск (—allow-compression=no).
  • У спіс шыфраў па змаўчанні дададзены CHACHA20-POLY1305.

Крыніца: opennet.ru

Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы 🔥 Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы | ProHoster