ProHoster > Blogi > netin uutisia > OpenVPN 2.6.0 saatavilla

OpenVPN 2.6.0 saatavilla

Kahden ja puolen vuoden kuluttua 2.5-haaran julkaisusta on valmisteltu OpenVPN 2.6.0 -julkaisu, paketti virtuaalisten yksityisten verkkojen luomiseen, jonka avulla voit järjestää salatun yhteyden kahden asiakaskoneen välillä tai tarjota keskitetyn VPN-palvelimen useamman asiakkaan samanaikaiseen toimintaan. OpenVPN-koodia jaetaan GPLv2-lisenssillä, valmiita binaaripaketteja luodaan Debianille, Ubuntulle, CentOS:lle, RHEL:lle ja Windowsille.

Tärkeimmät innovaatiot:

  • Tarjoaa tuen rajoittamattomalle määrälle yhteyksiä.
  • Mukana on ovpn-dco-ydinmoduuli, jonka avulla voit nopeuttaa VPN-suorituskykyä merkittävästi. Kiihtyvyys saavutetaan siirtämällä kaikki salaustoiminnot, pakettien käsittely ja viestintäkanavien hallinta Linux-ytimen puolelle, mikä eliminoi kontekstin vaihtamiseen liittyvän ylimääräisen rasituksen, mahdollistaa työn optimoinnin käyttämällä suoraan sisäisiä ytimen API:ita ja eliminoi hitaan tiedonsiirron ytimen välillä. ja käyttäjätila (salauksen, salauksen purkamisen ja reitityksen suorittaa moduuli lähettämättä liikennettä käyttäjätilassa olevalle käsittelijälle).

    Suoritetuissa testeissä tun-rajapintaan perustuvaan konfiguraatioon verrattuna moduulin käyttö asiakas- ja palvelinpuolella AES-256-GCM-salauksella mahdollisti 8-kertaisen suorituskyvyn kasvun (370:stä). Mbit/s - 2950 Mbit/s). Käytettäessä moduulia vain asiakaspuolella, läpäisykyky kolminkertaistui lähtevälle liikenteelle, eikä muuttunut saapuvassa liikenteessä. Käytettäessä moduulia vain palvelinpuolella, kapasiteetti kasvoi 4-kertaiseksi saapuvassa liikenteessä ja 35 % lähtevässä liikenteessä.

  • On mahdollista käyttää TLS-tilaa itseallekirjoitetuilla varmenteilla (käytettäessä vaihtoehtoa "-peer-fingerprint", voit jättää pois parametrit "-ca" ja "-capath" ja välttää Easy-RSA- tai PKI-palvelimen käyttämisen. vastaava ohjelmisto).
  • UDP-palvelin toteuttaa evästepohjaisen yhteydenneuvottelutilan, joka käyttää HMAC-pohjaista evästettä istunnon tunnisteena, jolloin palvelin voi suorittaa tilattoman vahvistuksen.
  • Lisätty tuki OpenSSL 3.0 -kirjastolla rakentamiseen. Lisätty "--tls-cert-profile insecure" vaihtoehto OpenSSL-suojauksen vähimmäistason valitsemiseksi.
  • Lisätty uudet ohjauskomennot remote-entry-count ja remote-entry-get ulkoisten yhteyksien määrän laskemiseksi ja luettelon näyttämiseksi niistä.
  • Avainten sopimusprosessin aikana EKM (Exported Keying Material, RFC 5705) -mekanismi on nyt ensisijainen menetelmä avainten luontimateriaalin hankkimiseen OpenVPN-spesifisen PRF-mekanismin sijaan. EKM:n käyttämiseen tarvitaan OpenSSL-kirjasto tai mbed TLS 2.18+.
  • Yhteensopivuus OpenSSL:n kanssa FIPS-tilassa tarjotaan, mikä mahdollistaa OpenVPN:n käytön järjestelmissä, jotka täyttävät FIPS 140-2 -tietoturvavaatimukset.
  • mlock suorittaa tarkistuksen varmistaakseen, että muistia on varattu riittävästi. Kun käytettävissä on alle 100 Mt RAM-muistia, setrlimit() kutsutaan nostamaan rajaa.
  • Lisätty "--peer-fingerprint" -vaihtoehto, jolla voit tarkistaa varmenteen voimassaolon tai sitomisen SHA256-tiivisteeseen perustuvalla sormenjäljellä käyttämättä tls-verifyta.
  • Komentosarjat on varustettu viivästetyn todennuksen vaihtoehdolla, joka toteutetaan "-auth-user-pass-verify" -vaihtoehdolla. Skripteihin ja laajennuksiin on lisätty tuki, jonka avulla asiakkaalle ilmoitetaan odottavasta todennuksesta, kun käytetään viivästettyä todennusta.
  • Lisätty yhteensopivuustila (-compat-mode), joka mahdollistaa yhteydet vanhempiin palvelimiin, joissa on OpenVPN 2.3.x tai vanhempi versio.
  • Parametrin "--data-ciphers" kautta välitetyssä luettelossa etuliite "?" on sallittu. määrittääksesi valinnaiset salaukset, joita käytetään vain, jos SSL-kirjasto tukee niitä.
  • Lisätty vaihtoehto "-session-timeout", jolla voit rajoittaa istunnon enimmäisaikaa.
  • Asetustiedosto mahdollistaa nimen ja salasanan määrittämisen tagilla .
  • Asiakkaan MTU voidaan määrittää dynaamisesti palvelimen lähettämien MTU-tietojen perusteella. MTU:n enimmäiskoon muuttamiseksi on lisätty vaihtoehto "—tun-mtu-max" (oletus on 1600).
  • Lisätty "--max-packet-size"-parametri, joka määrittää ohjauspakettien enimmäiskoon.
  • Poistettu tuki OpenVPN-käynnistystilalle inetd:n kautta. ncp-disable-vaihtoehto on poistettu. Verify-hash-vaihtoehto ja staattinen avaintila on poistettu käytöstä (vain TLS on säilytetty). TLS 1.0- ja 1.1-protokollat ​​on poistettu käytöstä (parametri tls-version-min on oletusarvoisesti 1.2). Sisäänrakennettu näennäissatunnaislukugeneraattoritoteutus (-prng) on ​​poistettu, joten tulee käyttää PRNG-toteutusta mbed TLS- tai OpenSSL-salauskirjastoista. PF:n (Packet Filtering) tuki on lopetettu. Oletuksena pakkaus on poistettu käytöstä (--allow-compression=no).
  • CHACHA20-POLY1305 lisättiin oletusarvoiseen salausluetteloon.

Lähde: opennet.ru

Lisää kommentti