ProHoster > Blog > internetové zprávy > K dispozici je OpenVPN 2.6.0

K dispozici je OpenVPN 2.6.0

Po dvou a půl letech od zveřejnění větve 2.5 bylo připraveno vydání OpenVPN 2.6.0, balíčku pro vytváření virtuálních privátních sítí, který umožňuje organizovat šifrované spojení mezi dvěma klientskými stroji nebo poskytovat centralizovaný VPN server. pro současný provoz několika klientů. Kód OpenVPN je distribuován pod licencí GPLv2, jsou generovány hotové binární balíčky pro Debian, Ubuntu, CentOS, RHEL a Windows.

Hlavní inovace:

  • Poskytuje podporu pro neomezený počet připojení.
  • Součástí je modul jádra ovpn-dco, který umožňuje výrazně zrychlit výkon VPN. Zrychlení je dosaženo přesunem všech šifrovacích operací, zpracování paketů a správy komunikačních kanálů na stranu linuxového jádra, což eliminuje režii spojenou s přepínáním kontextu, umožňuje optimalizovat práci přímým přístupem k interním rozhraním API jádra a eliminuje pomalý přenos dat mezi jádry. a uživatelský prostor (šifrování, dešifrování a směrování provádí modul bez odesílání provozu na handler v uživatelském prostoru).

    V provedených testech ve srovnání s konfigurací založenou na rozhraní tun umožnilo použití modulu na straně klienta a serveru pomocí šifry AES-256-GCM dosáhnout 8násobného zvýšení propustnosti (z 370 Mbit/s až 2950 Mbit/s). Při použití modulu pouze na straně klienta se propustnost zvýšila trojnásobně u odchozího provozu a nezměnila se u příchozího provozu. Při použití modulu pouze na straně serveru se propustnost zvýšila 4krát pro příchozí provoz a o 35 % pro odchozí provoz.

  • Je možné použít režim TLS s certifikáty s vlastním podpisem (při použití volby „-peer-fingerprint“ můžete vynechat parametry „-ca“ a „-capath“ a vyhnout se provozu PKI serveru založeného na Easy-RSA resp. podobný software).
  • Server UDP implementuje režim vyjednávání připojení založený na souborech cookie, který jako identifikátor relace používá soubor cookie založený na HMAC, což serveru umožňuje provádět bezstavové ověření.
  • Přidána podpora pro vytváření s knihovnou OpenSSL 3.0. Přidána možnost „--tls-cert-profile insecure“ pro výběr minimální úrovně zabezpečení OpenSSL.
  • Přidány nové ovládací příkazy remote-entry-count a remote-entry-get pro počítání počtu externích připojení a zobrazení jejich seznamu.
  • Během procesu sjednávání klíčů je nyní preferovanou metodou pro získávání materiálu pro generování klíčů mechanismus EKM (Exported Keying Material, RFC 5705) namísto mechanismu PRF specifického pro OpenVPN. Pro použití EKM je vyžadována knihovna OpenSSL nebo mbed TLS 2.18+.
  • Je zajištěna kompatibilita s OpenSSL v režimu FIPS, což umožňuje použití OpenVPN na systémech splňujících bezpečnostní požadavky FIPS 140-2.
  • mlock implementuje kontrolu, která zajistí, že je rezervována dostatečná paměť. Když je k dispozici méně než 100 MB paměti RAM, zavolá se setrlimit() ke zvýšení limitu.
  • Přidána možnost „--peer-fingerprint“ pro kontrolu platnosti nebo vazby certifikátu pomocí otisku prstu založeného na hash SHA256, bez použití tls-verify.
  • Skripty jsou vybaveny možností odložené autentizace, implementované pomocí volby „-auth-user-pass-verify“. Do skriptů a pluginů byla přidána podpora pro informování klienta o čekající autentizaci při použití odložené autentizace.
  • Přidán režim kompatibility (-compat-mode), který umožňuje připojení ke starším serverům s OpenVPN 2.3.x nebo staršími verzemi.
  • V seznamu procházejícím parametrem „--data-ciphers“ je povolena předpona „?“. k definování volitelných šifer, které budou použity pouze v případě, že jsou podporovány v knihovně SSL.
  • Přidána možnost „-session-timeout“, pomocí které můžete omezit maximální dobu relace.
  • Konfigurační soubor umožňuje zadat jméno a heslo pomocí tagu .
  • Schopnost dynamicky konfigurovat MTU klienta je poskytována na základě dat MTU přenášených serverem. Chcete-li změnit maximální velikost MTU, byla přidána možnost „—tun-mtu-max“ (výchozí hodnota je 1600).
  • Přidán parametr "--max-packet-size" pro definování maximální velikosti řídicích paketů.
  • Odebrána podpora režimu spouštění OpenVPN přes inetd. Možnost ncp-disable byla odstraněna. Možnost ověření hash a režim statického klíče byly zastaralé (zachováno bylo pouze TLS). Protokoly TLS 1.0 a 1.1 byly zastaralé (parametr tls-version-min je ve výchozím nastavení nastaven na 1.2). Vestavěná implementace generátoru pseudonáhodných čísel (-prng) byla odstraněna, měla by být použita implementace PRNG z kryptoknihoven mbed TLS nebo OpenSSL. Podpora pro PF (Packet Filtering) byla ukončena. Ve výchozím nastavení je komprese zakázána (--allow-compression=no).
  • Přidán CHACHA20-POLY1305 do výchozího seznamu šifer.

Zdroj: opennet.ru

Přidat komentář