ProHoster > Blog > naidheachdan eadar-lìn > OpenVPN 2.6.0 ri fhaighinn

OpenVPN 2.6.0 ri fhaighinn

Às deidh dà bhliadhna gu leth bho chaidh meur 2.5 fhoillseachadh, chaidh foillseachadh OpenVPN 2.6.0 ullachadh, pasgan airson lìonraidhean prìobhaideach brìgheil a chruthachadh a leigeas leat ceangal crioptaichte a chuir air dòigh eadar dà inneal teachdaiche no frithealaiche VPN meadhanaichte a thoirt seachad. airson obrachadh aig an aon àm grunn luchd-dèiligidh. Tha an còd OpenVPN air a chuairteachadh fo chead GPLv2, thèid pasganan dà-chànanach deiseil a chruthachadh airson Debian, Ubuntu, CentOS, RHEL agus Windows.

Prìomh innleachdan:

  • A 'toirt seachad taic airson àireamh neo-chuingealaichte de cheanglaichean.
  • Tha am modal kernel ovpn-dco air a thoirt a-steach, a leigeas leat coileanadh VPN a luathachadh gu mòr. Tha luathachadh air a choileanadh le bhith a’ gluasad a h-uile gnìomhachd crioptachaidh, giollachd pacaid agus riaghladh seanail conaltraidh gu taobh kernel Linux, a chuireas às don chosgais a tha co-cheangailte ri atharrachadh co-theacsa, ga dhèanamh comasach obair as fheàrr a dhèanamh le bhith a’ faighinn cothrom dìreach air na APIan kernel a-staigh agus a’ cur às do ghluasad dàta slaodach eadar kernel. agus àite luchd-cleachdaidh (bidh am modal a’ dèanamh crioptachadh, dì-chrioptachadh agus slighe gun a bhith a’ cur trafaic gu inneal-làimhseachaidh ann an àite luchd-cleachdaidh).

    Anns na deuchainnean a chaidh a dhèanamh, an coimeas ris an rèiteachadh stèidhichte air an eadar-aghaidh tun, le bhith a’ cleachdadh a’ mhodal air taobh an neach-dèiligidh agus an fhrithealaiche a’ cleachdadh an cipher AES-256-GCM bha e comasach àrdachadh 8-fhillte a choileanadh ann an throughput (bho 370 Mbit/s gu 2950 Mbit/s). Nuair a bha thu a’ cleachdadh a’ mhodal a-mhàin air taobh an neach-dèiligidh, mheudaich an t-slighe a-steach trì uiread airson trafaic a-mach agus cha do dh’atharraich e airson trafaic a’ tighinn a-steach. Nuair a bhios tu a’ cleachdadh a’ mhodal a-mhàin air taobh an fhrithealaiche, mheudaich trochur 4 tursan airson trafaic a’ tighinn a-steach agus 35% airson trafaic a-mach.

  • Tha e comasach modh TLS a chleachdadh le teisteanasan fèin-shoidhnichte (nuair a bhios tu a’ cleachdadh an roghainn “-peer-fingerprint", faodaidh tu na paramadairean “-ca” agus “-capath” fhàgail air falbh agus seachain frithealaiche PKI a ruith stèidhichte air Easy-RSA no bathar-bog coltach ris).
  • Bidh am frithealaiche UDP a’ cur an gnìomh modh co-rèiteachaidh ceangail stèidhichte air Cookie, a bhios a’ cleachdadh Briosgaid stèidhichte air HMAC mar aithnichear seisean, a’ leigeil leis an fhrithealaiche dearbhadh gun stàit a dhèanamh.
  • Taic a bharrachd airson togail leis an leabharlann OpenSSL 3.0. Chaidh roghainn “-tls-cert-profile unsecure” a chur ris gus an ìre tèarainteachd OpenSSL as ìsle a thaghadh.
  • Chaidh òrdughan smachd ùra a chuir ris cunntadh-inntrigidh iomallach agus faighinn a-steach air astar gus an àireamh de cheanglaichean taobh a-muigh a chunntadh agus liosta dhiubh a thaisbeanadh.
  • Tron phrìomh phròiseas aonta, is e an uidheamachd EKM (Exported Keying Material, RFC 5705) a-nis an dòigh as fheàrr airson prìomh stuth ginealach fhaighinn, an àite an uidheamachd PRF sònraichte OpenVPN. Gus EKM a chleachdadh, tha feum air leabharlann OpenSSL no mbed TLS 2.18+.
  • Tha co-chòrdalachd le OpenSSL ann am modh FIPS air a thoirt seachad, a leigeas le OpenVPN a chleachdadh air siostaman a choinnicheas ri riatanasan tèarainteachd FIPS 140-2.
  • Bidh mlock a’ cur seic an gnìomh gus dèanamh cinnteach gu bheil cuimhne gu leòr ann. Nuair a tha nas lugha na 100 MB de RAM ri fhaighinn, thèid setrlimit () a ghairm gus a’ chrìoch àrdachadh.
  • Chuir sinn ris an roghainn “--peer-fingerprint” gus sgrùdadh a dhèanamh air èifeachd no ceangal teisteanais a’ cleachdadh lorgan-meòir stèidhichte air hash SHA256, gun a bhith a’ cleachdadh tls-verify.
  • Tha sgriobtaichean air an toirt seachad leis an roghainn de dhearbhadh dàil, air a chuir an gnìomh a’ cleachdadh an roghainn “-auth-user-pass-verify”. Chaidh taic airson fiosrachadh a thoirt don neach-dèiligidh mu dhearbhadh a tha ri thighinn nuair a thathar a’ cleachdadh dearbhadh dàil a chur ri sgriobtaichean agus plugins.
  • Modh co-chòrdalachd air a chur ris (-compat-mode) gus ceanglaichean a cheadachadh ri seann luchd-frithealaidh a tha a’ ruith OpenVPN 2.3.x no dreachan nas sine.
  • Anns an liosta a chaidh tron ​​​​pharamadair “--data-ciphers”, tha an ro-leasachan “?” ceadaichte. gus ciphers roghainneil a mhìneachadh nach tèid a chleachdadh ach ma tha taic ann an leabharlann SSL.
  • Roghainn a bharrachd “-session-timeout” leis an urrainn dhut an ùine seisean as àirde a chuingealachadh.
  • Leigidh am faidhle rèiteachaidh ainm agus facal-faire a shònrachadh a’ cleachdadh an taga .
  • Tha an comas air MTU an neach-dèiligidh a rèiteachadh gu dinamach air a thoirt seachad, stèidhichte air an dàta MTU a chuir an frithealaiche seachad. Gus am meud MTU as àirde atharrachadh, chaidh an roghainn “—tun-mtu-max” a chur ris (is e 1600 an àbhaist).
  • Chaidh paramadair “--max-packet-size” a chuir ris gus am meud as motha de phasgan smachd a mhìneachadh.
  • Taic air a thoirt air falbh airson modh cur air bhog OpenVPN tro inetd. Chaidh an roghainn ncp-disable a thoirt air falbh. Cha deach an roghainn dearbhaidh-hash agus am modh iuchrach statach a mholadh (cha deach ach TLS a ghleidheadh). Cha deach na protocolaidhean TLS 1.0 agus 1.1 a mholadh (tha am paramadair tls-version-min air a shuidheachadh gu 1.2 gu bunaiteach). Chaidh buileachadh gineadair àireamh meallta meallta (-prng) a chaidh a thogail a-steach a thoirt air falbh; bu chòir buileachadh PRNG bho leabharlannan crypto mbed TLS no OpenSSL a chleachdadh. Chaidh stad a chuir air taic airson PF (Packet Filtering). Gu gnàthach, tha teannachadh à comas (--allow-compression=chan eil).
  • CHACHA20-POLY1305 air a chur ris an liosta àbhaisteach cipher.

Source: fosgailtenet.ru

Cuir beachd ann