ProHoster > Bloc > notícies d'internet > Disponible OpenVPN 2.6.0

Disponible OpenVPN 2.6.0

Després de dos anys i mig des de la publicació de la branca 2.5, la versió ja està a punt. OpenVPN 2.6.0, un paquet per crear xarxes privades virtuals que permet organitzar una connexió xifrada entre dues màquines client o proporcionar un servidor VPN centralitzat per al funcionament simultani de diversos clients. Codi OpenVPN distribuït sota la llicència GPLv2, es generen paquets binaris prefabricats per a Debian, Ubuntu, CentOS, RHEL i Windows.

Principals innovacions:

  • Proporciona suport per a un nombre il·limitat de connexions.
  • S'inclou el mòdul del nucli ovpn-dco, que permet una acceleració significativa del rendiment. VPN. Ускорение достигается за счёт выноса всех операций шифрования, обработки пакетов и управления каналом связи на сторону ядра Linux, que elimina la sobrecàrrega associada al canvi de context, permet l'optimització accedint directament a les API internes del nucli i elimina la transferència lenta de dades entre el nucli i l'espai d'usuari (el xifratge, el desxifratge i l'encaminament els realitza el mòdul sense enviar trànsit al controlador de l'espai d'usuari).

    En les proves realitzades, en comparació amb la configuració basada en la interfície tun, l'ús del mòdul als costats del client i del servidor mitjançant el xifrat AES-256-GCM va permetre aconseguir un augment de 8 vegades en el rendiment (a partir de 370 Mbit/s fins a 2950 Mbit/s). Quan s'utilitzava el mòdul només al costat del client, el rendiment es va multiplicar per tres per al trànsit de sortida i no va canviar per al trànsit d'entrada. Quan s'utilitza el mòdul només al costat del servidor, el rendiment va augmentar 4 vegades per al trànsit d'entrada i un 35% per al trànsit de sortida.

  • És possible utilitzar el mode TLS amb certificats autofirmats (quan utilitzeu l'opció "-peer-fingerprint", podeu ometre els paràmetres "-ca" i "-capath" i evitar executar un servidor PKI basat en Easy-RSA o programari similar).
  • El servidor UDP implementa un mode de negociació de connexió basat en galetes, que utilitza una galeta basada en HMAC com a identificador de sessió, permetent al servidor realitzar una verificació sense estat.
  • S'ha afegit suport per construir amb la biblioteca OpenSSL 3.0. S'ha afegit l'opció "--tls-cert-profile insecure" per seleccionar el nivell de seguretat mínim d'OpenSSL.
  • S'han afegit noves ordres de control remote-entry-count i remote-entry-get per comptar el nombre de connexions externes i mostrar-ne una llista.
  • В процессе согласования ключей более приоритетным методом получения материала для генерации ключей теперь является механизм EKM (Exported Keying Material, RFC 5705), вместо специфичного механизма OpenVPN PRF. Для применения EKM требуется библиотека OpenSSL или mbed TLS 2.18+.
  • Обеспечена совместимость с OpenSSL в FIPS-режиме, что позволяет использовать OpenVPN на системах, удовлетворяющих требованиям безопасности FIPS 140-2.
  • mlock implementa una comprovació per assegurar-se que hi ha prou memòria reservada. Quan hi ha menys de 100 MB de RAM disponibles, es crida a setrlimit() per augmentar el límit.
  • S'ha afegit l'opció "--peer-fingerprint" per comprovar la validesa o la vinculació d'un certificat mitjançant una empremta digital basada en el hash SHA256, sense utilitzar tls-verify.
  • Els scripts es proporcionen amb l'opció d'autenticació diferida, implementada mitjançant l'opció "-auth-user-pass-verify". S'ha afegit suport per informar el client sobre l'autenticació pendent quan s'utilitza l'autenticació diferida als scripts i connectors.
  • Добавлен режим совместимости (—compat-mode), позволяющий подключаться к старым серверам, на которых используется OpenVPN 2.3.x или более старые версии.
  • La llista passada a través del paràmetre "--data-ciphers" permet que el prefix "?" especifiqueu xifratges opcionals que només s'utilitzaran si són compatibles. SSL-biblioteca.
  • S'ha afegit l'opció "-session-timeout" amb la qual podeu limitar el temps màxim de sessió.
  • El fitxer de configuració permet especificar un nom i una contrasenya mitjançant l'etiqueta .
  • Es proporciona la possibilitat de configurar dinàmicament la MTU del client, en funció de les dades de MTU transmeses pel servidor. Per canviar la mida màxima de MTU, s'ha afegit l'opció "—tun-mtu-max" (el valor per defecte és 1600).
  • S'ha afegit el paràmetre "--max-packet-size" per definir la mida màxima dels paquets de control.
  • Удалена поддержка режима запуска OpenVPN через inetd. Удалена опция ncp-disable. Объявлены устаревшими опция verify-hash и режим статических ключей (оставлен только TLS). В разряд устаревших переведены протоколы TLS 1.0 и 1.1 (параметр tls-version-min по умолчанию выставлен в значение 1.2). Удалена встроенная реализация генератора псевдослучайных чисел (—prng), следует использовать реализацию PRNG из криптобиблиотек mbed TLS или OpenSSL. Прекращена поддержка пакетного фильтра PF (Packet Filtering). По умолчанию отключено сжатие (—allow-compression=no).
  • S'ha afegit CHACHA20-POLY1305 a la llista de xifratge per defecte.

Font: opennet.ru

Compreu allotjament fiable per a llocs amb protecció DDoS, servidors VPS VDS 🔥 Compra allotjament web fiable amb protecció DDoS, servidors VPS VDS | ProHoster