Saatavilla OpenVPN 2.6.0

Kahden ja puolen vuoden kuluttua 2.5-haaran julkaisusta julkaisu on valmis. OpenVPN 2.6.0, virtuaalisten yksityisverkkojen luomiseen tarkoitettu paketti, jonka avulla voit järjestää salatun yhteyden kahden asiakaskoneen välille tai tarjota keskitetyn VPN-palvelimen useiden asiakkaiden samanaikaiseen toimintaan. Koodi OpenVPN GPLv2-lisenssillä jaettuna valmiita binääripaketteja luodaan Debian, Ubuntu, CentOS, RHEL ja Windows.

Tärkeimmät innovaatiot:

  • Tarjoaa tuen rajoittamattomalle määrälle yhteyksiä.
  • Mukana on ovpn-dco-ydinmoduuli, joka mahdollistaa merkittävän suorituskyvyn kiihdytyksen. VPNNopeus saavutetaan siirtämällä kaikki salaustoiminnot, pakettien käsittely ja tietoliikennekanavien hallinta ytimen puolelle. Linux, joka poistaa kontekstin vaihtamiseen liittyvän lisätyön, mahdollistaa optimoinnin käyttämällä suoraan ytimen sisäisiä API-rajapintoja ja poistaa hitaan tiedonsiirron ytimen ja käyttäjätilan välillä (salauksen, salauksen purkamisen ja reitityksen suorittaa moduuli lähettämättä liikennettä käyttäjätilan käsittelijälle).

    Suoritetuissa testeissä tun-rajapintaan perustuvaan konfiguraatioon verrattuna moduulin käyttö asiakas- ja palvelinpuolella AES-256-GCM-salauksella mahdollisti 8-kertaisen suorituskyvyn kasvun (370:stä). Mbit/s - 2950 Mbit/s). Käytettäessä moduulia vain asiakaspuolella, läpäisykyky kolminkertaistui lähtevälle liikenteelle, eikä muuttunut saapuvassa liikenteessä. Käytettäessä moduulia vain palvelinpuolella, kapasiteetti kasvoi 4-kertaiseksi saapuvassa liikenteessä ja 35 % lähtevässä liikenteessä.

  • On mahdollista käyttää TLS-tilaa itseallekirjoitetuilla varmenteilla (käytettäessä vaihtoehtoa "-peer-fingerprint", voit jättää pois parametrit "-ca" ja "-capath" ja välttää Easy-RSA- tai PKI-palvelimen käyttämisen. vastaava ohjelmisto).
  • UDP-palvelin toteuttaa evästepohjaisen yhteydenneuvottelutilan, joka käyttää HMAC-pohjaista evästettä istunnon tunnisteena, jolloin palvelin voi suorittaa tilattoman vahvistuksen.
  • Lisätty tuki OpenSSL 3.0 -kirjastolla rakentamiseen. Lisätty "--tls-cert-profile insecure" vaihtoehto OpenSSL-suojauksen vähimmäistason valitsemiseksi.
  • Lisätty uudet ohjauskomennot remote-entry-count ja remote-entry-get ulkoisten yhteyksien määrän laskemiseksi ja luettelon näyttämiseksi niistä.
  • Avainten sopimusprosessin aikana avainten luontimateriaalin hankkimiseen suositeltava menetelmä on nyt EKM-mekanismi (Exported Keying Material, RFC 5705) tietyn mekanismin sijaan. OpenVPN PRF. EKM:n käyttö vaatii OpenSSL-kirjaston tai mbed TLS 2.18+:n.
  • Tarjosi yhteensopivuuden OpenSSL:n kanssa FIPS-tilassa, mikä mahdollistaa seuraavien käytön: OpenVPN järjestelmissä, jotka täyttävät FIPS 140-2 -tietoturvavaatimukset.
  • mlock suorittaa tarkistuksen varmistaakseen, että muistia on varattu riittävästi. Kun käytettävissä on alle 100 Mt RAM-muistia, setrlimit() kutsutaan nostamaan rajaa.
  • Lisätty "--peer-fingerprint" -vaihtoehto, jolla voit tarkistaa varmenteen voimassaolon tai sitomisen SHA256-tiivisteeseen perustuvalla sormenjäljellä käyttämättä tls-verifyta.
  • Komentosarjat on varustettu viivästetyn todennuksen vaihtoehdolla, joka toteutetaan "-auth-user-pass-verify" -vaihtoehdolla. Skripteihin ja laajennuksiin on lisätty tuki, jonka avulla asiakkaalle ilmoitetaan odottavasta todennuksesta, kun käytetään viivästettyä todennusta.
  • Lisätty yhteensopivuustila (--compat-mode), jotta vanhempiin palvelimiin, jotka käyttävät OpenVPN 2.3.x tai vanhemmat versiot.
  • Parametrin "--data-ciphers" kautta välitetty lista sallii "?"-etuliitteen määrittää valinnaisia ​​salauksia, joita käytetään vain, jos niitä tuetaan. SSL-kirjasto.
  • Lisätty vaihtoehto "-session-timeout", jolla voit rajoittaa istunnon enimmäisaikaa.
  • Asetustiedosto mahdollistaa nimen ja salasanan määrittämisen tagilla .
  • Asiakkaan MTU voidaan määrittää dynaamisesti palvelimen lähettämien MTU-tietojen perusteella. MTU:n enimmäiskoon muuttamiseksi on lisätty vaihtoehto "—tun-mtu-max" (oletus on 1600).
  • Lisätty "--max-packet-size"-parametri, joka määrittää ohjauspakettien enimmäiskoon.
  • Poistettu tuki käynnistystilalle OpenVPN inetd:n kautta. Ncp-disable-asetus on poistettu. Verify-hash-asetus ja staattinen avaintila on vanhentunut (vain TLS on säilytetty). TLS 1.0 ja 1.1 on vanhentunut (tls-version-min-parametri on nyt oletusarvoisesti asetettu arvoon 1.2). Sisäänrakennettu pseudo-satunnaislukugeneraattori (--prng) on ​​poistettu; tulisi käyttää PRNG-toteutusta mbed TLS- tai OpenSSL-kryptokirjastoista. Pakettisuodatuksen (PF) tuki on lopetettu. Pakkaus on oletusarvoisesti poistettu käytöstä (--allow-compression=no).
  • CHACHA20-POLY1305 lisättiin oletusarvoiseen salausluetteloon.

Lähde: opennet.ru

Osta luotettava isännöinti sivustoille, joissa on DDoS-suojaus, VPS VDS -palvelimet 🔥 Osta luotettavaa verkkosivustojen hostingia DDoS-suojauksella, VPS VDS -palvelimilla | ProHoster