Pärast kahte ja poolt aastat pärast 2.5 filiaali avaldamist on ette valmistatud OpenVPN 2.6.0 väljalase, pakett virtuaalsete privaatvõrkude loomiseks, mis võimaldab korraldada kahe klientmasina vahel krüpteeritud ühendust või pakkuda tsentraliseeritud VPN-serverit. mitme kliendi samaaegseks tööks. OpenVPN koodi levitatakse GPLv2 litsentsi all, valmis binaarpakette genereeritakse Debiani, Ubuntu, CentOSi, RHELi ja Windowsi jaoks.
Peamised uuendused:
- Pakub tuge piiramatule arvule ühendustele.
- Kaasas on ovpn-dco kerneli moodul, mis võimaldab VPN-i jõudlust oluliselt kiirendada. Kiirendus saavutatakse kõigi krüpteerimistoimingute, pakettide töötlemise ja sidekanalite haldamise viimisega Linuxi kerneli poolele, mis välistab konteksti vahetamisega seotud üldkulud, võimaldab optimeerida tööd otse juurdepääsu kaudu sisemistele kerneli API-dele ja välistab aeglase andmeedastuse kerneli vahel. ja kasutajaruum (krüpteerimist, dekrüpteerimist ja marsruutimist teostab moodul ilma liiklust kasutajaruumis olevale töötlejale saatmata).
Läbiviidud testides võimaldas mooduli kasutamine kliendi- ja serveripoolsel šifri AES-256-GCM šifri abil võrreldes tun-liidesel põhineva konfiguratsiooniga saavutada 8-kordse läbilaskevõime suurenemise (alates 370-st). Mbit/s kuni 2950 Mbit/s). Kasutades moodulit ainult kliendi poolel, kasvas läbilaskevõime väljamineva liikluse puhul kolm korda ja sissetuleva liikluse puhul ei muutunud. Kui moodulit kasutada ainult serveri poolel, suurenes läbilaskevõime sissetuleva liikluse puhul 4 korda ja väljamineva liikluse puhul 35%.
- Iseallkirjastatud sertifikaatidega on võimalik kasutada TLS-režiimi (suvandi “-peer-fingerprint” kasutamisel võib parameetrid “-ca” ja “-capath” ära jätta ning vältida Easy-RSA-l põhineva PKI serveri käitamist või sarnane tarkvara).
- UDP-server rakendab küpsisepõhist ühenduse läbirääkimisrežiimi, mis kasutab seansi identifikaatorina HMAC-põhist küpsist, mis võimaldab serveril teostada olekuta kontrolli.
- Lisatud on OpenSSL 3.0 teegiga ehitamise tugi. Minimaalse OpenSSL-i turbetaseme valimiseks on lisatud valik "--tls-cert-profile insecure".
- Lisatud uued juhtkäsud remote-entry-count ja remote-entry-get, et loendada välisühenduste arvu ja kuvada nende loend.
- Võtmekokkuleppeprotsessi ajal on OpenVPN-i spetsiifilise PRF-mehhanismi asemel eelistatud meetod võtme genereerimise materjali hankimiseks EKM-i (Exported Keying Material, RFC 5705) mehhanism. EKM-i kasutamiseks on vajalik OpenSSL-i teek või mbed TLS 2.18+.
- Pakutakse ühilduvust OpenSSL-iga FIPS režiimis, mis võimaldab kasutada OpenVPN-i süsteemides, mis vastavad FIPS 140-2 turvanõuetele.
- mlock rakendab kontrolli, et tagada piisav mälu reserveerimine. Kui saadaval on vähem kui 100 MB RAM-i, kutsutakse setrlimit() limiidi suurendamiseks.
- Lisati suvand „--peer-fingerprint”, et kontrollida sertifikaadi kehtivust või sidumist SHA256 räsil põhineva sõrmejälje abil, ilma tls-verify kasutamata.
- Skriptid on varustatud edasilükatud autentimise võimalusega, mida rakendatakse suvandi „-auth-user-pass-verify” abil. Skriptidele ja pistikprogrammidele on lisatud tugi kliendi teavitamiseks ootel olevast autentimisest edasilükatud autentimise kasutamisel.
- Lisatud ühilduvusrežiim (-compat-mode), et võimaldada ühendusi vanemate serveritega, mis käitavad OpenVPN 2.3.x või vanemaid versioone.
- Parameetri "--data-ciphers" kaudu läbitud loendis on eesliide "?" lubatud. defineerida valikulised šifrid, mida kasutatakse ainult siis, kui SSL-teek seda toetab.
- Lisatud valik “-session-timeout”, millega saab piirata maksimaalset seansi aega.
- Konfiguratsioonifail võimaldab määrata sildi abil nime ja parooli .
- Võimalus dünaamiliselt konfigureerida kliendi MTU-d, mis põhinevad serveri edastatud MTU andmetel. Maksimaalse MTU suuruse muutmiseks on lisatud valik “—tun-mtu-max” (vaikimisi on 1600).
- Lisatud parameeter "--max-packet-size", et määrata kontrollpakettide maksimaalne suurus.
- Eemaldatud OpenVPN-i käivitusrežiimi tugi inetd kaudu. Suvand ncp-disable on eemaldatud. Räsi kontrollimise valik ja staatilise võtme režiim on aegunud (säilitatud on ainult TLS). TLS 1.0 ja 1.1 protokollid on aegunud (parameeter tls-version-min on vaikimisi seatud väärtusele 1.2). Sisseehitatud pseudojuhuslike numbrite generaatori teostus (-prng) on eemaldatud; tuleks kasutada mbed TLS-i või OpenSSL-i krüptoteegi PRNG-rakendust. PF-i (Packet Filtering) tugi on lõpetatud. Vaikimisi on tihendamine keelatud (--allow-compression=no).
- CHACHA20-POLY1305 lisati vaikešifrite loendisse.
Allikas: opennet.ru