ProHoster > blog > newyddion rhyngrwyd > OpenVPN 2.6.0 ar gael

OpenVPN 2.6.0 ar gael

Ar ôl dwy flynedd a hanner ers cyhoeddi cangen 2.5, mae rhyddhau OpenVPN 2.6.0 wedi'i baratoi, pecyn ar gyfer creu rhwydweithiau preifat rhithwir sy'n eich galluogi i drefnu cysylltiad wedi'i amgryptio rhwng dau beiriant cleient neu ddarparu gweinydd VPN canolog ar gyfer gweithredu nifer o gleientiaid ar yr un pryd. Mae'r cod OpenVPN yn cael ei ddosbarthu o dan y drwydded GPLv2, mae pecynnau deuaidd parod yn cael eu cynhyrchu ar gyfer Debian, Ubuntu, CentOS, RHEL a Windows.

Prif arloesiadau:

  • Yn darparu cefnogaeth ar gyfer nifer anghyfyngedig o gysylltiadau.
  • Mae'r modiwl cnewyllyn ovpn-dco wedi'i gynnwys, sy'n eich galluogi i gyflymu perfformiad VPN yn sylweddol. Cyflawnir cyflymiad trwy symud yr holl weithrediadau amgryptio, prosesu pecynnau a rheoli sianelau cyfathrebu i ochr cnewyllyn Linux, sy'n dileu'r gorbenion sy'n gysylltiedig â newid cyd-destun, yn ei gwneud hi'n bosibl gwneud y gorau o waith trwy gyrchu'r API cnewyllyn mewnol yn uniongyrchol ac yn dileu trosglwyddiad data araf rhwng cnewyllyn a gofod defnyddiwr (mae amgryptio, dadgryptio a llwybro yn cael eu perfformio gan y modiwl heb anfon traffig at driniwr yn y gofod defnyddiwr).

    Yn y profion a gynhaliwyd, o'i gymharu â'r cyfluniad yn seiliedig ar y rhyngwyneb tiwn, roedd defnyddio'r modiwl ar ochr y cleient a'r gweinydd gan ddefnyddio'r seiffr AES-256-GCM yn ei gwneud hi'n bosibl cyflawni cynnydd 8 gwaith yn y mewnbwn (o 370 Mbit yr eiliad i 2950 Mbit yr eiliad). Wrth ddefnyddio'r modiwl yn unig ar ochr y cleient, cynyddodd y mewnbwn deirgwaith ar gyfer traffig sy'n mynd allan ac ni newidiodd ar gyfer traffig sy'n dod i mewn. Wrth ddefnyddio'r modiwl ar ochr y gweinydd yn unig, cynyddodd y mewnbwn 4 gwaith ar gyfer traffig sy'n dod i mewn a 35% ar gyfer traffig sy'n mynd allan.

  • Mae'n bosibl defnyddio modd TLS gyda thystysgrifau hunan-lofnodedig (wrth ddefnyddio'r opsiwn "-peer-fingerprint", gallwch hepgor y paramedrau "-ca" a "-capath" ac osgoi rhedeg gweinydd PKI yn seiliedig ar Easy-RSA neu meddalwedd tebyg).
  • Mae'r gweinydd CDU yn gweithredu dull trafod cysylltiad yn seiliedig ar Gwci, sy'n defnyddio Cwci wedi'i seilio ar HMAC fel dynodwr sesiwn, gan ganiatáu i'r gweinydd gyflawni gwiriad di-wladwriaeth.
  • Cefnogaeth ychwanegol ar gyfer adeiladu gyda llyfrgell OpenSSL 3.0. Ychwanegwyd opsiwn "--tls-cert-profile insecure" i ddewis isafswm lefel diogelwch OpenSSL.
  • Ychwanegwyd gorchmynion rheoli newydd o bell-mynediad a mynediad o bell i gyfrif nifer y cysylltiadau allanol ac arddangos rhestr ohonynt.
  • Yn ystod y broses gytundeb allweddol, y mecanwaith EKM (Deunydd Allforio Allforio, RFC 5705) bellach yw'r dull a ffefrir ar gyfer cael deunydd cenhedlaeth allweddol, yn lle'r mecanwaith PRF OpenVPN-benodol. I ddefnyddio EKM, mae angen llyfrgell OpenSSL neu mbed TLS 2.18+.
  • Darperir cydnawsedd ag OpenSSL yn y modd FIPS, sy'n caniatáu defnyddio OpenVPN ar systemau sy'n bodloni gofynion diogelwch FIPS 140-2.
  • mlock yn gweithredu siec i sicrhau bod digon o gof yn cael ei gadw. Pan fydd llai na 100 MB o RAM ar gael, gelwir setrlimit() i gynyddu'r terfyn.
  • Ychwanegwyd yr opsiwn “--peer-fingerprint” i wirio dilysrwydd neu rwymiad tystysgrif gan ddefnyddio olion bysedd yn seiliedig ar yr hash SHA256, heb ddefnyddio tls-verify.
  • Darperir sgriptiau gyda'r opsiwn o ddilysu gohiriedig, a weithredir gan ddefnyddio'r opsiwn "-auth-user-pass-verify". Mae cefnogaeth ar gyfer hysbysu'r cleient am ddilysiad sydd ar y gweill wrth ddefnyddio dilysiad gohiriedig wedi'i ychwanegu at sgriptiau ac ategion.
  • Ychwanegwyd modd cydnawsedd (-compat-mode) i ganiatáu cysylltiadau â gweinyddwyr hŷn sy'n rhedeg OpenVPN 2.3.x neu fersiynau hŷn.
  • Yn y rhestr sy'n mynd trwy'r paramedr “--data-ciphers”, caniateir y rhagddodiad “?”. i ddiffinio seiffrau dewisol a fydd ond yn cael eu defnyddio os cânt eu cefnogi yn y llyfrgell SSL.
  • Ychwanegwyd opsiwn “-session-timeout” y gallwch gyfyngu ar uchafswm yr amser sesiwn ag ef.
  • Mae'r ffeil ffurfweddu yn caniatáu nodi enw a chyfrinair gan ddefnyddio'r tag .
  • Darperir y gallu i ffurfweddu MTU y cleient yn ddeinamig, yn seiliedig ar y data MTU a drosglwyddir gan y gweinydd. I newid y maint MTU mwyaf, mae'r opsiwn "—tun-mtu-max" wedi'i ychwanegu (diofyn yw 1600).
  • Ychwanegwyd paramedr "--max-packet-size" i ddiffinio maint mwyaf y pecynnau rheoli.
  • Wedi dileu cefnogaeth ar gyfer modd lansio OpenVPN trwy inetd. Mae'r opsiwn ncp-disable wedi'i ddileu. Mae'r opsiwn gwirio-hash a'r modd allwedd statig wedi'u anghymeradwyo (dim ond TLS sydd wedi'i gadw). Mae'r protocolau TLS 1.0 ac 1.1 wedi'u anghymeradwyo (mae'r paramedr tls-version-min wedi'i osod i 1.2 yn ddiofyn). Mae'r gweithrediad generadur rhif ffug-hap adeiledig (-prng) wedi'i ddileu; dylid defnyddio gweithrediad PRNG o lyfrgelloedd crypto mbed TLS neu OpenSSL. Mae cefnogaeth ar gyfer PF (Hidlo Pecyn) wedi dod i ben. Yn ddiofyn, mae cywasgu wedi'i analluogi (--allow-compression=na).
  • Ychwanegwyd CHACHA20-POLY1305 at y rhestr seiffr rhagosodedig.

Ffynhonnell: opennet.ru

Ychwanegu sylw