ProHoster > Օրագիր > ինտերնետ նորություններ > OpenVPN 2.6.0 հասանելի է

OpenVPN 2.6.0 հասանելի է

2.5 մասնաճյուղի հրապարակումից երկուսուկես տարի անց պատրաստվել է OpenVPN 2.6.0-ի թողարկումը՝ վիրտուալ մասնավոր ցանցեր ստեղծելու փաթեթ, որը թույլ է տալիս կազմակերպել կոդավորված կապ երկու հաճախորդի մեքենաների միջև կամ տրամադրել կենտրոնացված VPN սերվեր: մի քանի հաճախորդների միաժամանակյա աշխատանքի համար: OpenVPN կոդը բաշխվում է GPLv2 լիցենզիայի ներքո, պատրաստի երկուական փաթեթներ են ստեղծվում Debian-ի, Ubuntu-ի, CentOS-ի, RHEL-ի և Windows-ի համար:

Հիմնական նորամուծությունները.

  • Ապահովում է անսահմանափակ թվով կապերի աջակցություն:
  • Ներառված է ovpn-dco միջուկի մոդուլը, որը թույլ է տալիս զգալիորեն արագացնել VPN-ի աշխատանքը։ Արագացումը ձեռք է բերվում գաղտնագրման բոլոր գործողությունները, փաթեթների մշակումը և կապի ալիքների կառավարումը Linux միջուկի կողմ տեղափոխելով, ինչը վերացնում է համատեքստի փոխարկման հետ կապված ծախսերը, հնարավորություն է տալիս օպտիմիզացնել աշխատանքը՝ ուղղակիորեն մուտք գործելով միջուկի ներքին API-ներ և վերացնում է տվյալների դանդաղ փոխանցումը միջուկի միջև: և օգտագործողի տարածքը (գաղտնագրումը, գաղտնազերծումը և երթուղավորումը կատարվում են մոդուլի կողմից՝ առանց օգտագործողի տարածքում կառավարողին տրաֆիկ ուղարկելու):

    Կատարված թեստերում, համեմատած tun ինտերֆեյսի վրա հիմնված կազմաձևի հետ, AES-256-GCM ծածկագիրը օգտագործող մոդուլի օգտագործումը հաճախորդի և սերվերի կողմերում թույլ տվեց հասնել թողունակության 8 անգամ (370-ից): Մբիթ/վրկ-ից մինչև 2950 Մբիթ/վ): Մոդուլը միայն հաճախորդի կողմից օգտագործելու դեպքում թողունակությունը եռապատկվել է ելքային տրաֆիկի համար և չի փոխվել մուտքային տրաֆիկի համար: Մոդուլը միայն սերվերի կողմից օգտագործելու դեպքում թողունակությունը 4 անգամ ավելացել է մուտքային տրաֆիկի և 35%-ով ելքային տրաֆիկի համար:

  • Հնարավոր է օգտագործել TLS ռեժիմը ինքնաստորագրված վկայագրերով («-peer-մատնահետք» տարբերակը օգտագործելիս կարող եք բաց թողնել «-ca» և «-capath» պարամետրերը և խուսափել Easy-RSA-ի կամ PKI սերվերի գործարկումից։ նմանատիպ ծրագրեր):
  • UDP սերվերն իրականացնում է «Cookie»-ի վրա հիմնված կապի բանակցային ռեժիմ, որն օգտագործում է HMAC-ի վրա հիմնված «Cookie»-ը որպես նստաշրջանի նույնացուցիչ՝ թույլ տալով սերվերին կատարել առանց քաղաքացիության ստուգում:
  • Ավելացված է աջակցություն OpenSSL 3.0 գրադարանի միջոցով կառուցելու համար: Ավելացվեց «--tls-cert-profile insecure» տարբերակը՝ նվազագույն OpenSSL անվտանգության մակարդակն ընտրելու համար:
  • Ավելացվեցին նոր կառավարման հրամաններ remote-entry-count և remote-entry-get՝ հաշվելու արտաքին կապերի քանակը և ցուցադրելու դրանց ցանկը:
  • Հիմնական համաձայնագրի գործընթացում EKM (Exported Keying Material, RFC 5705) մեխանիզմն այժմ նախընտրելի մեթոդ է բանալիների ստեղծման նյութ ստանալու համար՝ OpenVPN-ին հատուկ PRF մեխանիզմի փոխարեն: EKM-ն օգտագործելու համար անհրաժեշտ է OpenSSL գրադարան կամ mbed TLS 2.18+:
  • Համատեղելիություն OpenSSL-ի հետ FIPS ռեժիմում, որը թույլ է տալիս OpenVPN-ի օգտագործումը համակարգերի վրա, որոնք համապատասխանում են FIPS 140-2 անվտանգության պահանջներին:
  • mlock-ն իրականացնում է ստուգում՝ ապահովելու, որ բավարար հիշողություն է պահպանված: Երբ հասանելի է 100 ՄԲ-ից պակաս օպերատիվ հիշողություն, սահմանաչափը մեծացնելու համար կանչվում է setrlimit()-ը:
  • Ավելացրել է «--peer-fingerprint» տարբերակը՝ ստուգելու վկայագրի վավերականությունը կամ պարտադիր լինելը SHA256 հեշի վրա հիմնված մատնահետքի միջոցով՝ առանց tls-verify-ի օգտագործման:
  • Սկրիպտներին տրամադրվում է հետաձգված նույնականացման տարբերակ, որն իրականացվում է «-auth-user-pass-verify» տարբերակի միջոցով: Սկրիպտներին և պլագիններին ավելացվել է սպասվող նույնականացման մասին հաճախորդին տեղեկացնելու աջակցություն հետաձգված նույնականացում օգտագործելիս:
  • Ավելացվեց համատեղելիության ռեժիմ (-compat-mode)՝ թույլ տալու միացումներ OpenVPN 2.3.x կամ ավելի հին տարբերակներով աշխատող հին սերվերներին:
  • «--data-ciphers» պարամետրով անցած ցանկում թույլատրվում է «?» նախածանցը: սահմանել կամընտիր ծածկագրեր, որոնք կօգտագործվեն միայն SSL գրադարանում աջակցության դեպքում:
  • Ավելացվեց «-session-timeout» տարբերակը, որով կարող եք սահմանափակել առավելագույն նստաշրջանի ժամանակը:
  • Կազմաձևման ֆայլը թույլ է տալիս պիտակի միջոցով նշել անուն և գաղտնաբառ .
  • Ապահովված է հաճախորդի MTU-ի դինամիկ կարգավորելու հնարավորությունը՝ հիմնված սերվերի կողմից փոխանցված MTU տվյալների վրա: Առավելագույն MTU չափը փոխելու համար ավելացվել է «—tun-mtu-max» տարբերակը (կանխադրվածը 1600 է):
  • Ավելացվեց «--max-packet-size» պարամետրը՝ վերահսկիչ փաթեթների առավելագույն չափը սահմանելու համար:
  • Հեռացվել է OpenVPN գործարկման ռեժիմի աջակցությունը inetd-ի միջոցով: ncp-disable տարբերակը հեռացվել է: Verify-hash տարբերակը և ստատիկ ստեղնաշարի ռեժիմը հնացել են (միայն TLS-ն է պահպանվել): TLS 1.0 և 1.1 արձանագրությունները հնացել են (tls-version-min պարամետրը լռելյայն սահմանված է 1.2): Ներկառուցված կեղծ պատահական թվերի գեներատորի ներդրումը (-prng) հեռացվել է, պետք է օգտագործվի PRNG իրականացումը mbed TLS կամ OpenSSL կրիպտո գրադարաններից: PF-ի (Փաթեթների զտման) աջակցությունը դադարեցվել է: Լռելյայնորեն սեղմումն անջատված է (--allow-compression=no):
  • CHACHA20-POLY1305-ն ավելացվել է լռելյայն ծածկագրերի ցանկին:

Source: opennet.ru

Добавить комментарий