ProHoster > Блог > internet vijesti > Dostupan je OpenVPN 2.6.0

Dostupan je OpenVPN 2.6.0

Nakon dvije i pol godine od objavljivanja grane 2.5, pripremljeno je izdanje OpenVPN 2.6.0, paketa za kreiranje virtualnih privatnih mreža koji vam omogućava da organizirate šifrovanu vezu između dvije klijentske mašine ili da obezbijedite centralizirani VPN server za istovremeni rad više klijenata. OpenVPN kod se distribuira pod GPLv2 licencom, generirani su gotovi binarni paketi za Debian, Ubuntu, CentOS, RHEL i Windows.

Glavne inovacije:

  • Pruža podršku za neograničen broj veza.
  • Uključen je modul kernela ovpn-dco, koji vam omogućava da značajno ubrzate VPN performanse. Ubrzanje se postiže premještanjem svih operacija šifriranja, obrade paketa i upravljanja komunikacijskim kanalima na stranu jezgre Linuxa, što eliminira troškove povezane s prebacivanjem konteksta, omogućava optimizaciju rada direktnim pristupom internim API-jima kernela i eliminira spori prijenos podataka između kernela. i korisnički prostor (šifriranje, dešifriranje i rutiranje obavlja modul bez slanja prometa rukovaocu u korisničkom prostoru).

    U sprovedenim testovima, u poređenju sa konfiguracijom zasnovanom na tun interfejsu, korišćenje modula na strani klijenta i servera korišćenjem AES-256-GCM šifre omogućilo je postizanje 8 puta povećanja propusnosti (sa 370 Mbit/s do 2950 Mbit/s). Kada se modul koristi samo na strani klijenta, propusnost se povećala tri puta za odlazni promet i nije se promijenila za dolazni promet. Kada se modul koristi samo na strani servera, propusnost je povećana za 4 puta za dolazni saobraćaj i za 35% za odlazni saobraćaj.

  • Moguće je koristiti TLS način rada sa samopotpisanim certifikatima (kada koristite opciju “-peer-fingerprint”, možete izostaviti parametre “-ca” i “-capath” i izbjeći pokretanje PKI servera zasnovanog na Easy-RSA ili sličan softver).
  • UDP server implementira način pregovaranja veze zasnovan na kolačićima, koji koristi kolačić baziran na HMAC-u kao identifikator sesije, omogućavajući serveru da izvrši verifikaciju bez stanja.
  • Dodata podrška za izgradnju sa OpenSSL 3.0 bibliotekom. Dodata opcija "--tls-cert-profile insecure" za odabir minimalnog nivoa sigurnosti OpenSSL-a.
  • Dodane su nove kontrolne komande remote-entry-count i remote-entry-get za prebrojavanje broja eksternih veza i prikaz njihove liste.
  • Tokom procesa dogovora o ključu, mehanizam EKM (izvezeni materijal za ključeve, RFC 5705) je sada preferirani metod za dobijanje materijala za generisanje ključeva, umesto OpenVPN-specifičnog PRF mehanizma. Za korištenje EKM-a potrebna je OpenSSL biblioteka ili mbed TLS 2.18+.
  • Omogućena je kompatibilnost sa OpenSSL-om u FIPS modu, što omogućava korištenje OpenVPN-a na sistemima koji ispunjavaju sigurnosne zahtjeve FIPS 140-2.
  • mlock implementira provjeru kako bi osigurao da je rezervirano dovoljno memorije. Kada je dostupno manje od 100 MB RAM-a, setrlimit() se poziva da poveća ograničenje.
  • Dodata je opcija “--peer-fingerprint” za provjeru valjanosti ili vezivanja certifikata pomoću otiska prsta na osnovu SHA256 heša, bez korištenja tls-verify.
  • Skripte su opremljene opcijom odgođene autentifikacije, implementirane pomoću opcije “-auth-user-pass-verify”. Podrška za informiranje klijenta o autentifikaciji na čekanju kada se koristi odgođena autentikacija je dodana skriptama i dodacima.
  • Dodan način kompatibilnosti (-compat-mode) za omogućavanje povezivanja sa starijim serverima koji koriste OpenVPN 2.3.x ili starije verzije.
  • U listi koja se propušta kroz parametar “--data-ciphers”, prefiks “?” je dozvoljen. definirati opcionalne šifre koje će se koristiti samo ako su podržane u SSL biblioteci.
  • Dodata opcija “-session-timeout” sa kojom možete ograničiti maksimalno vrijeme sesije.
  • Konfiguracijski fajl omogućava određivanje imena i lozinke pomoću oznake .
  • Mogućnost dinamičkog konfigurisanja MTU klijenta je obezbeđena na osnovu MTU podataka koje prenosi server. Da biste promijenili maksimalnu MTU veličinu, dodana je opcija “—tun-mtu-max” (podrazumevano je 1600).
  • Dodan parametar "--max-packet-size" za definiranje maksimalne veličine kontrolnih paketa.
  • Uklonjena je podrška za OpenVPN način pokretanja putem inetd-a. Opcija ncp-disable je uklonjena. Opcija verify-hash i režim statičkog ključa su zastarjeli (zadržan je samo TLS). TLS 1.0 i 1.1 protokoli su zastarjeli (parametar tls-version-min je po defaultu postavljen na 1.2). Ugrađena implementacija generatora pseudo-slučajnih brojeva (-prng) je uklonjena; treba koristiti PRNG implementaciju iz mbed TLS ili OpenSSL kripto biblioteka. Podrška za PF (Packet Filtering) je ukinuta. Po defaultu, kompresija je onemogućena (--allow-compression=no).
  • Dodan CHACHA20-POLY1305 na zadanu listu šifri.

izvor: opennet.ru

Dodajte komentar