ProHoster > Blog > Internetnachrichten > OpenVPN 2.6.0 verfügbar

OpenVPN 2.6.0 verfügbar

Zweieinhalb Jahre nach der Veröffentlichung des Zweigs 2.5 wurde die Veröffentlichung von OpenVPN 2.6.0 vorbereitet, einem Paket zum Erstellen virtueller privater Netzwerke, mit dem Sie eine verschlüsselte Verbindung zwischen zwei Client-Computern organisieren oder einen zentralen VPN-Server bereitstellen können für den gleichzeitigen Betrieb mehrerer Clients. Der OpenVPN-Code wird unter der GPLv2-Lizenz vertrieben, es werden fertige Binärpakete für Debian, Ubuntu, CentOS, RHEL und Windows generiert.

Wichtigste Neuerungen:

  • Bietet Unterstützung für eine unbegrenzte Anzahl von Verbindungen.
  • Im Lieferumfang ist das Kernelmodul ovpn-dco enthalten, mit dem Sie die VPN-Leistung erheblich beschleunigen können. Die Beschleunigung wird durch die Verlagerung aller Verschlüsselungsvorgänge, Paketverarbeitung und Kommunikationskanalverwaltung auf die Linux-Kernel-Seite erreicht, wodurch der mit der Kontextumschaltung verbundene Overhead entfällt, die Arbeit durch direkten Zugriff auf die internen Kernel-APIs optimiert werden kann und eine langsame Datenübertragung zwischen Kerneln vermieden wird und Benutzerbereich (Verschlüsselung, Entschlüsselung und Weiterleitung werden vom Modul durchgeführt, ohne Datenverkehr an einen Handler im Benutzerbereich zu senden).

    In den durchgeführten Tests konnte im Vergleich zur Konfiguration auf Basis der Tun-Schnittstelle durch den Einsatz des Moduls auf Client- und Serverseite unter Verwendung der AES-256-GCM-Verschlüsselung eine 8-fache Steigerung des Durchsatzes (von 370) erreicht werden Mbit/s bis 2950 Mbit/s). Bei Verwendung des Moduls nur auf der Client-Seite erhöhte sich der Durchsatz beim ausgehenden Datenverkehr um das Dreifache und änderte sich beim eingehenden Datenverkehr nicht. Wenn das Modul nur auf der Serverseite verwendet wird, erhöht sich der Durchsatz beim eingehenden Datenverkehr um das Vierfache und beim ausgehenden Datenverkehr um 4 %.

  • Es ist möglich, den TLS-Modus mit selbstsignierten Zertifikaten zu verwenden (bei Verwendung der Option „-peer-fingerprint“ können Sie die Parameter „-ca“ und „-capath“ weglassen und den Betrieb eines PKI-Servers basierend auf Easy-RSA oder vermeiden). ähnliche Software).
  • Der UDP-Server implementiert einen Cookie-basierten Verbindungsaushandlungsmodus, der ein HMAC-basiertes Cookie als Sitzungskennung verwendet und es dem Server ermöglicht, eine zustandslose Überprüfung durchzuführen.
  • Unterstützung für die Erstellung mit der OpenSSL 3.0-Bibliothek hinzugefügt. Option „--tls-cert-profile insecure“ hinzugefügt, um die minimale OpenSSL-Sicherheitsstufe auszuwählen.
  • Neue Steuerbefehle remote-entry-count und remote-entry-get hinzugefügt, um die Anzahl externer Verbindungen zu zählen und eine Liste davon anzuzeigen.
  • Während des Schlüsselvereinbarungsprozesses ist jetzt der EKM-Mechanismus (Exported Keying Material, RFC 5705) die bevorzugte Methode zum Erhalten von Schlüsselgenerierungsmaterial anstelle des OpenVPN-spezifischen PRF-Mechanismus. Zur Nutzung von EKM ist die OpenSSL-Bibliothek oder mbed TLS 2.18+ erforderlich.
  • Es besteht Kompatibilität mit OpenSSL im FIPS-Modus, was die Verwendung von OpenVPN auf Systemen ermöglicht, die die Sicherheitsanforderungen von FIPS 140-2 erfüllen.
  • mlock implementiert eine Prüfung, um sicherzustellen, dass ausreichend Speicher reserviert ist. Wenn weniger als 100 MB RAM verfügbar sind, wird setrlimit() aufgerufen, um das Limit zu erhöhen.
  • Option „--peer-fingerprint“ hinzugefügt, um die Gültigkeit oder Bindung eines Zertifikats mithilfe eines Fingerabdrucks basierend auf dem SHA256-Hash zu überprüfen, ohne tls-verify zu verwenden.
  • Skripte verfügen über die Option der verzögerten Authentifizierung, implementiert mit der Option „-auth-user-pass-verify“. Unterstützung für die Benachrichtigung des Clients über ausstehende Authentifizierung bei Verwendung der verzögerten Authentifizierung wurde zu Skripten und Plugins hinzugefügt.
  • Kompatibilitätsmodus (-compat-mode) hinzugefügt, um Verbindungen zu älteren Servern zu ermöglichen, auf denen OpenVPN 2.3.x oder ältere Versionen ausgeführt werden.
  • In der Liste, die über den Parameter „--data-ciphers“ übergeben wird, ist das Präfix „?“ zulässig. um optionale Verschlüsselungen zu definieren, die nur verwendet werden, wenn sie in der SSL-Bibliothek unterstützt werden.
  • Option „-session-timeout“ hinzugefügt, mit der Sie die maximale Sitzungszeit begrenzen können.
  • Die Konfigurationsdatei ermöglicht die Angabe eines Namens und Passworts mithilfe des Tags .
  • Es besteht die Möglichkeit, die MTU des Clients dynamisch zu konfigurieren, basierend auf den vom Server übertragenen MTU-Daten. Um die maximale MTU-Größe zu ändern, wurde die Option „—tun-mtu-max“ hinzugefügt (Standard ist 1600).
  • Parameter „--max-packet-size“ hinzugefügt, um die maximale Größe von Kontrollpaketen zu definieren.
  • Die Unterstützung für den OpenVPN-Startmodus über inetd wurde entfernt. Die Option „ncp-disable“ wurde entfernt. Die Option „Verify-Hash“ und der statische Schlüsselmodus sind veraltet (nur TLS wurde beibehalten). Die Protokolle TLS 1.0 und 1.1 sind veraltet (der Parameter tls-version-min ist standardmäßig auf 1.2 gesetzt). Die integrierte Pseudozufallszahlengenerator-Implementierung (-prng) wurde entfernt; es sollte die PRNG-Implementierung aus den mbed TLS- oder OpenSSL-Kryptobibliotheken verwendet werden. Die Unterstützung für PF (Packet Filtering) wurde eingestellt. Standardmäßig ist die Komprimierung deaktiviert (--allow-compression=no).
  • CHACHA20-POLY1305 zur Standard-Verschlüsselungsliste hinzugefügt.

Source: opennet.ru

Kommentar hinzufügen