ProHoster > Blog > internetske vijesti > OpenVPN 2.6.0 dostupan

OpenVPN 2.6.0 dostupan

Nakon dvije i pol godine od objave ogranka 2.5, pripremljeno je izdanje OpenVPN 2.6.0, paketa za stvaranje virtualnih privatnih mreža koji vam omogućuje organiziranje šifrirane veze između dva klijentska računala ili pružanje centraliziranog VPN poslužitelja za istovremeni rad više klijenata. OpenVPN kod se distribuira pod licencom GPLv2, generiraju se gotovi binarni paketi za Debian, Ubuntu, CentOS, RHEL i Windows.

Glavne inovacije:

  • Pruža podršku za neograničeni broj veza.
  • Uključen je kernel modul ovpn-dco, koji vam omogućuje značajno ubrzanje performansi VPN-a. Ubrzanje se postiže premještanjem svih operacija enkripcije, obrade paketa i upravljanja komunikacijskim kanalima na stranu Linux kernela, što eliminira opterećenje povezano s prebacivanjem konteksta, omogućuje optimiziranje rada izravnim pristupom internim API-jima kernela i eliminira spor prijenos podataka između kernela i korisnički prostor (šifriranje, dešifriranje i usmjeravanje obavlja modul bez slanja prometa rukovatelju u korisničkom prostoru).

    U provedenim testovima, u usporedbi s konfiguracijom temeljenom na tun sučelju, upotreba modula na strani klijenta i poslužitelja pomoću šifre AES-256-GCM omogućila je postizanje 8-strukog povećanja propusnosti (od 370 Mbit/s do 2950 Mbit/s). Kada se modul koristi samo na strani klijenta, propusnost se utrostručila za odlazni promet i nije se promijenila za dolazni promet. Kada se modul koristi samo na strani poslužitelja, propusnost se povećala za 4 puta za dolazni promet i za 35% za odlazni promet.

  • Moguće je koristiti TLS način rada sa samopotpisanim certifikatima (kada koristite opciju "-peer-fingerprint", možete izostaviti parametre "-ca" i "-capath" i izbjeći pokretanje PKI poslužitelja temeljenog na Easy-RSA ili sličan softver).
  • UDP poslužitelj implementira način pregovaranja veze temeljen na kolačićima, koji koristi kolačić temeljen na HMAC-u kao identifikator sesije, dopuštajući poslužitelju da izvrši provjeru bez stanja.
  • Dodana podrška za izgradnju s bibliotekom OpenSSL 3.0. Dodana je opcija "--tls-cert-profile insecure" za odabir minimalne razine sigurnosti OpenSSL-a.
  • Dodane su nove kontrolne naredbe remote-entry-count i remote-entry-get za brojanje vanjskih veza i prikaz njihovog popisa.
  • Tijekom procesa dogovora o ključu, mehanizam EKM (Exported Keying Material, RFC 5705) sada je preferirana metoda za dobivanje materijala za generiranje ključa, umjesto PRF mehanizma specifičnog za OpenVPN. Za korištenje EKM-a potrebna je biblioteka OpenSSL ili mbed TLS 2.18+.
  • Omogućena je kompatibilnost s OpenSSL-om u FIPS načinu rada, što omogućuje korištenje OpenVPN-a na sustavima koji ispunjavaju FIPS 140-2 sigurnosne zahtjeve.
  • mlock provodi provjeru kako bi osigurao da je rezervirano dovoljno memorije. Kada je dostupno manje od 100 MB RAM-a, poziva se setrlimit() da poveća ograničenje.
  • Dodana je opcija “--peer-fingerprint” za provjeru valjanosti ili povezivanja certifikata pomoću otiska prsta na temelju SHA256 hash-a, bez upotrebe tls-verify.
  • Skripte su opremljene opcijom odgođene provjere autentičnosti, implementiranom pomoću opcije “-auth-user-pass-verify”. Podrška za informiranje klijenta o provjeri autentičnosti na čekanju kada se koristi odgođena autentifikacija dodana je skriptama i dodacima.
  • Dodan način kompatibilnosti (-compat-mode) kako bi se omogućile veze sa starijim poslužiteljima koji pokreću OpenVPN 2.3.x ili starije verzije.
  • U popisu proslijeđenom kroz parametar “--data-ciphers” dopušten je prefiks “?”. za definiranje izbornih šifri koje će se koristiti samo ako su podržane u SSL biblioteci.
  • Dodana opcija “-session-timeout” s kojom možete ograničiti maksimalno vrijeme sesije.
  • Konfiguracijska datoteka omogućuje određivanje imena i lozinke pomoću oznake .
  • Omogućena je mogućnost dinamičke konfiguracije klijentovog MTU-a na temelju MTU podataka koje šalje poslužitelj. Za promjenu maksimalne MTU veličine dodana je opcija “—tun-mtu-max” (zadano je 1600).
  • Dodan je parametar "--max-packet-size" za definiranje maksimalne veličine kontrolnih paketa.
  • Uklonjena je podrška za OpenVPN način pokretanja putem inetd-a. Opcija ncp-disable je uklonjena. Opcija verify-hash i način statičkog ključa su zastarjeli (zadržan je samo TLS). Protokoli TLS 1.0 i 1.1 su zastarjeli (parametar tls-version-min postavljen je na 1.2 prema zadanim postavkama). Ugrađena implementacija generatora pseudoslučajnih brojeva (-prng) je uklonjena; trebala bi se koristiti PRNG implementacija iz mbed TLS ili OpenSSL kripto biblioteka. Podrška za PF (filtriranje paketa) je ukinuta. Prema zadanim postavkama, kompresija je onemogućena (--allow-compression=no).
  • Dodan CHACHA20-POLY1305 na zadani popis šifri.

Izvor: opennet.ru

Dodajte komentar