ProHoster > Blog > internetes hírek > OpenVPN 2.6.0 elérhető

OpenVPN 2.6.0 elérhető

A 2.5-ös ág megjelenése óta eltelt két és fél év után elkészült az OpenVPN 2.6.0 kiadása, a virtuális magánhálózatok létrehozására szolgáló csomag, amely lehetővé teszi két kliens gép közötti titkosított kapcsolat megszervezését vagy központi VPN szerver biztosítását. több ügyfél egyidejű működtetésére. Az OpenVPN kódot GPLv2 licenc alatt terjesztik, kész bináris csomagokat generálnak Debian, Ubuntu, CentOS, RHEL és Windows számára.

Főbb újítások:

  • Korlátlan számú csatlakozáshoz nyújt támogatást.
  • Tartalmazza az ovpn-dco kernel modult, amely lehetővé teszi a VPN teljesítményének jelentős felgyorsítását. A gyorsítás az összes titkosítási művelet, a csomagfeldolgozás és a kommunikációs csatorna-kezelés Linux kernel oldalára való áthelyezésével érhető el, ami kiküszöböli a környezetváltással járó többletterhelést, lehetővé teszi a munka optimalizálását a belső kernel API-k közvetlen elérésével és kiküszöböli a kernel közötti lassú adatátvitelt. és felhasználói terület (a titkosítást, a visszafejtést és az útválasztást a modul végzi anélkül, hogy forgalmat küldene a felhasználói térben lévő kezelőnek).

    Az elvégzett tesztekben a tun interfészen alapuló konfigurációhoz képest a modul ügyfél- és szerveroldali használata AES-256-GCM titkosító segítségével 8-szoros áteresztőképesség-növekedést tett lehetővé (370-ről). Mbit/s-tól 2950 Mbit/s-ig). A modul csak kliens oldalon történő használatakor a kimenő forgalomnál háromszorosára nőtt az áteresztőképesség, a bejövő forgalomnál nem változott. A modul csak szerveroldali használata esetén a bejövő forgalom 4-szeresére, a kimenő forgalom 35%-ára nőtt.

  • Lehetőség van a TLS mód használatára önaláírt tanúsítványokkal (a „-peer-fingerprint” opció használatakor elhagyható a „-ca” és „-capath” paraméter, és elkerülhető az Easy-RSA, ill. hasonló szoftver).
  • Az UDP-kiszolgáló Cookie-alapú kapcsolategyeztetési módot valósít meg, amely egy HMAC-alapú cookie-t használ munkamenet-azonosítóként, lehetővé téve a szerver számára, hogy állapot nélküli ellenőrzést hajtson végre.
  • Támogatás hozzáadva az OpenSSL 3.0 könyvtárral való építéshez. A „--tls-cert-profile insecure” opció hozzáadva a minimális OpenSSL biztonsági szint kiválasztásához.
  • Hozzáadott új vezérlőparancsok remote-entry-count és remote-entry-get a külső kapcsolatok számának megszámlálásához és azok listájának megjelenítéséhez.
  • A kulcsegyeztetési folyamat során most az EKM (Exported Keying Material, RFC 5705) mechanizmus a preferált módszer a kulcsgeneráló anyag megszerzésére, az OpenVPN-specifikus PRF mechanizmus helyett. Az EKM használatához OpenSSL könyvtár vagy mbed TLS 2.18+ szükséges.
  • Az OpenSSL-lel FIPS módban kompatibilis, ami lehetővé teszi az OpenVPN használatát azokon a rendszereken, amelyek megfelelnek a FIPS 140-2 biztonsági követelményeinek.
  • Az mlock ellenőrzést hajt végre annak biztosítására, hogy elegendő memória van-e lefoglalva. Ha 100 MB-nál kevesebb RAM áll rendelkezésre, a setrlimit() meghívásra kerül a korlát növelése érdekében.
  • A „--peer-fingerprint” opció hozzáadva a tanúsítvány érvényességének vagy kötésének ellenőrzéséhez az SHA256 hash-en alapuló ujjlenyomat segítségével, a tls-verify használata nélkül.
  • A szkriptek a késleltetett hitelesítés lehetőségével vannak ellátva, amelyet az „-auth-user-pass-verify” opcióval lehet megvalósítani. A szkriptekhez és a bővítményekhez hozzáadták a kliens tájékoztatását a függőben lévő hitelesítésről a késleltetett hitelesítés használatakor.
  • Hozzáadott kompatibilitási mód (-compat-mode), amely lehetővé teszi a kapcsolatokat az OpenVPN 2.3.x vagy régebbi verzióit futtató régebbi szerverekhez.
  • A „--data-ciphers” paraméteren áthaladó listában a „?” előtag megengedett. opcionális titkosítások meghatározásához, amelyeket csak akkor használunk, ha az SSL könyvtár támogatja.
  • Hozzáadott „-session-timeout” opció, amellyel korlátozhatja a munkamenet maximális idejét.
  • A konfigurációs fájl lehetővé teszi a név és a jelszó megadását a címke használatával .
  • Lehetőség van az ügyfél MTU-jának dinamikus konfigurálására a szerver által továbbított MTU-adatok alapján. A maximális MTU méret módosításához a „—tun-mtu-max” opció hozzáadásra került (alapértelmezett 1600).
  • "--max-packet-size" paraméter hozzáadva a vezérlőcsomagok maximális méretének meghatározásához.
  • Eltávolítottuk az OpenVPN indítási mód támogatását az inetd-n keresztül. Az ncp-disable opciót eltávolították. A Verify-hash opció és a statikus kulcs mód elavult (csak a TLS maradt meg). A TLS 1.0 és 1.1 protokollok elavultak (a tls-version-min paraméter alapértelmezés szerint 1.2-re van állítva). A pszeudo-véletlenszám-generátor (-prng) beépített megvalósítását eltávolítottuk, az mbed TLS vagy OpenSSL kriptokönyvtárak PRNG implementációját kell használni. A PF (Packet Filtering) támogatása megszűnt. Alapértelmezés szerint a tömörítés le van tiltva (--allow-compression=no).
  • A CHACHA20-POLY1305 hozzáadva az alapértelmezett rejtjellistához.

Forrás: opennet.ru

Hozzászólás