ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Anaa ang OpenVPN 2.6.0

Anaa ang OpenVPN 2.6.0

Pagkahuman sa duha ug tunga ka tuig sukad sa pagmantala sa 2.5 nga sanga, ang pagpagawas sa OpenVPN 2.6.0 giandam na, usa ka pakete alang sa pagmugna og mga virtual nga pribadong network nga nagtugot kanimo sa pag-organisar sa usa ka naka-encrypt nga koneksyon tali sa duha ka mga makina sa kliyente o paghatag usa ka sentralisadong VPN server. alang sa dungan nga operasyon sa daghang mga kliyente. Ang OpenVPN code giapod-apod sa ilawom sa lisensya sa GPLv2, ang mga andam nga binary nga pakete gihimo alang sa Debian, Ubuntu, CentOS, RHEL ug Windows.

Panguna nga mga inobasyon:

  • Naghatag suporta alang sa usa ka walay kutub nga gidaghanon sa mga koneksyon.
  • Ang ovpn-dco kernel module gilakip, nga nagtugot kanimo sa pagpadali sa performance sa VPN. Ang pagpadali makab-ot pinaagi sa pagbalhin sa tanan nga mga operasyon sa pag-encrypt, pagproseso sa packet ug pagdumala sa channel sa komunikasyon ngadto sa bahin sa kernel sa Linux, nga nagwagtang sa overhead nga may kalabutan sa pagbalhin sa konteksto, nagpaposible sa pag-optimize sa trabaho pinaagi sa direktang pag-access sa internal nga kernel API ug pagwagtang sa hinay nga pagbalhin sa datos tali sa kernel ug user space (encryption, decryption ug routing gihimo sa module nga walay pagpadala sa trapiko ngadto sa usa ka handler sa user space).

    Sa mga pagsulay nga gihimo, kung itandi sa configuration base sa tun interface, ang paggamit sa module sa kliyente ug server sides gamit ang AES-256-GCM cipher nagpaposible nga makab-ot ang 8-fold nga pagtaas sa throughput (gikan sa 370 Mbit/s hangtod 2950 Mbit/s). Kung gigamit lang ang module sa bahin sa kliyente, ang throughput misaka sa tulo ka pilo alang sa paggawas nga trapiko ug wala magbag-o alang sa umaabot nga trapiko. Kung gigamit lang ang module sa kilid sa server, ang throughput nadugangan sa 4 ka beses alang sa umaabot nga trapiko ug sa 35% alang sa paggawas nga trapiko.

  • Posible nga gamiton ang TLS mode nga adunay mga sertipiko nga gipirmahan sa kaugalingon (kung gamiton ang kapilian nga "-peer-fingerprint", mahimo nimong laktawan ang mga parameter nga "-ca" ug "-capath" ug likayan ang pagpadagan sa usa ka server sa PKI base sa Easy-RSA o parehas nga software).
  • Ang UDP server nagpatuman ug Cookie-based connection negotiation mode, nga naggamit ug HMAC-based Cookie isip session identifier, nga nagtugot sa server sa paghimo sa stateless verification.
  • Gidugang nga suporta alang sa pagtukod gamit ang OpenSSL 3.0 library. Gidugang ang "--tls-cert-profile insecure" nga kapilian aron mapili ang minimum nga lebel sa seguridad sa OpenSSL.
  • Gidugang ang bag-ong control commands remote-entry-count ug remote-entry-get para maihap ang gidaghanon sa external connections ug magpakita ug lista niini.
  • Atol sa proseso sa yawe nga kasabutan, ang mekanismo sa EKM (Exported Keying Material, RFC 5705) mao na karon ang gipalabi nga pamaagi sa pagkuha sa importanteng generation material, imbes sa OpenVPN-specific PRF nga mekanismo. Aron magamit ang EKM, gikinahanglan ang OpenSSL library o mbed TLS 2.18+.
  • Ang pagkaangay sa OpenSSL sa FIPS mode gihatag, nga nagtugot sa paggamit sa OpenVPN sa mga sistema nga nagtagbo sa mga kinahanglanon sa seguridad sa FIPS 140-2.
  • Ang mlock nagpatuman sa usa ka tseke aron masiguro nga adunay igo nga memorya nga gitagana. Kung wala’y 100 MB sa RAM ang magamit, ang setrlimit () gitawag aron madugangan ang limitasyon.
  • Gidugang ang kapilian nga "--peer-fingerprint" aron masusi ang pagkabalido o pagbugkos sa usa ka sertipiko gamit ang fingerprint nga gibase sa SHA256 hash, nga wala gigamit ang tls-verify.
  • Gihatagan ang mga script sa kapilian sa pag-defer sa pag-authenticate, gipatuman gamit ang kapilian nga "-auth-user-pass-verify". Ang suporta alang sa pagpahibalo sa kliyente bahin sa pending nga pag-authenticate kung gigamit ang gi-defer nga pag-authenticate gidugang sa mga script ug mga plugin.
  • Gidugang ang compatibility mode (-compat-mode) aron tugotan ang mga koneksyon sa mas karaan nga mga server nga nagpadagan sa OpenVPN 2.3.x o mas karaan nga mga bersyon.
  • Sa lista nga gipaagi sa parameter nga "--data-ciphers", gitugotan ang prefix nga "?". sa paghubit sa mga opsyonal nga ciphers nga gamiton lamang kung gisuportahan sa SSL library.
  • Gidugang nga kapilian nga "-session-timeout" diin mahimo nimong limitahan ang labing kadaghan nga oras sa sesyon.
  • Ang configuration file nagtugot sa pagtino sa usa ka ngalan ug password gamit ang tag .
  • Ang abilidad sa dinamikong pag-configure sa MTU sa kliyente gihatag, base sa data sa MTU nga gipadala sa server. Aron usbon ang pinakataas nga gidak-on sa MTU, ang opsyon nga "β€”tun-mtu-max" gidugang (ang default mao ang 1600).
  • Gidugang ang parameter nga "--max-packet-size" aron mahibal-an ang labing kadaghan nga gidak-on sa mga control packet.
  • Gikuha ang suporta alang sa OpenVPN launch mode pinaagi sa inetd. Ang opsyon sa ncp-disable gikuha na. Ang opsyon sa verify-hash ug static key mode wala na gamita (TLS ra ang gipabilin). Ang TLS 1.0 ug 1.1 nga mga protocol wala na gamita (ang tls-version-min nga parameter gitakda sa 1.2 pinaagi sa default). Ang built-in nga pseudo-random number generator nga implementasyon (-prng) gitangtang; ang PRNG nga pagpatuman gikan sa mbed TLS o OpenSSL crypto libraries kinahanglang gamiton. Ang suporta alang sa PF (Packet Filtering) gihunong na. Sa kasagaran, ang compression gi-disable (--allow-compression=no).
  • Gidugang ang CHACHA20-POLY1305 sa default nga lista sa cipher.

Source: opennet.ru

Idugang sa usa ka comment