ProHoster > blog > berita internet > OpenVPN 2.6.0 tersedia

OpenVPN 2.6.0 tersedia

Setelah dua setengah tahun sejak penerbitan cabang 2.5, rilis OpenVPN 2.6.0 telah disiapkan, sebuah paket untuk membuat jaringan pribadi virtual yang memungkinkan Anda mengatur koneksi terenkripsi antara dua mesin klien atau menyediakan server VPN terpusat untuk pengoperasian beberapa klien secara bersamaan. Kode OpenVPN didistribusikan di bawah lisensi GPLv2, paket biner siap pakai dibuat untuk Debian, Ubuntu, CentOS, RHEL dan Windows.

Inovasi utama:

  • Memberikan dukungan untuk jumlah koneksi yang tidak terbatas.
  • Modul kernel ovpn-dco disertakan, yang memungkinkan Anda mempercepat kinerja VPN secara signifikan. Akselerasi dicapai dengan memindahkan semua operasi enkripsi, pemrosesan paket, dan manajemen saluran komunikasi ke sisi kernel Linux, yang menghilangkan overhead yang terkait dengan peralihan konteks, memungkinkan untuk mengoptimalkan pekerjaan dengan mengakses langsung API kernel internal dan menghilangkan transfer data yang lambat antar kernel dan ruang pengguna (enkripsi, dekripsi, dan perutean dilakukan oleh modul tanpa mengirimkan lalu lintas ke pengendali di ruang pengguna).

    Dalam pengujian yang dilakukan, dibandingkan dengan konfigurasi berdasarkan antarmuka tun, penggunaan modul di sisi klien dan server menggunakan cipher AES-256-GCM memungkinkan pencapaian peningkatan throughput 8 kali lipat (dari 370 Mbit/dtk hingga 2950 Mbit/dtk). Saat menggunakan modul hanya di sisi klien, throughput meningkat tiga kali lipat untuk lalu lintas keluar dan tidak berubah untuk lalu lintas masuk. Saat menggunakan modul hanya di sisi server, throughput meningkat 4 kali lipat untuk lalu lintas masuk dan 35% untuk lalu lintas keluar.

  • Dimungkinkan untuk menggunakan mode TLS dengan sertifikat yang ditandatangani sendiri (saat menggunakan opsi “-peer-fingerprint”, Anda dapat menghilangkan parameter “-ca” dan “-capath” dan menghindari menjalankan server PKI berdasarkan Easy-RSA atau perangkat lunak serupa).
  • Server UDP menerapkan mode negosiasi koneksi berbasis Cookie, yang menggunakan Cookie berbasis HMAC sebagai pengidentifikasi sesi, yang memungkinkan server melakukan verifikasi tanpa kewarganegaraan.
  • Menambahkan dukungan untuk membangun dengan perpustakaan OpenSSL 3.0. Menambahkan opsi "--tls-cert-profile insecure" untuk memilih tingkat keamanan OpenSSL minimum.
  • Menambahkan perintah kontrol baru penghitungan entri jarak jauh dan entri entri jarak jauh untuk menghitung jumlah koneksi eksternal dan menampilkan daftarnya.
  • Selama proses perjanjian kunci, mekanisme EKM (Exported Keying Material, RFC 5705) kini menjadi metode yang lebih disukai untuk mendapatkan materi pembuatan kunci, dibandingkan mekanisme PRF khusus OpenVPN. Untuk menggunakan EKM, diperlukan perpustakaan OpenSSL atau mbed TLS 2.18+.
  • Kompatibilitas dengan OpenSSL dalam mode FIPS disediakan, yang memungkinkan penggunaan OpenVPN pada sistem yang memenuhi persyaratan keamanan FIPS 140-2.
  • mlock mengimplementasikan pemeriksaan untuk memastikan bahwa memori yang cukup dicadangkan. Jika RAM yang tersedia kurang dari 100 MB, setrlimit() dipanggil untuk meningkatkan batas.
  • Menambahkan opsi “--peer-fingerprint” untuk memeriksa validitas atau pengikatan sertifikat menggunakan sidik jari berdasarkan hash SHA256, tanpa menggunakan tls-verify.
  • Skrip dilengkapi dengan opsi autentikasi yang ditangguhkan, diimplementasikan menggunakan opsi “-auth-user-pass-verify”. Dukungan untuk memberi tahu klien tentang autentikasi yang tertunda saat menggunakan autentikasi yang ditangguhkan telah ditambahkan ke skrip dan plugin.
  • Menambahkan mode kompatibilitas (-compat-mode) untuk memungkinkan koneksi ke server lama yang menjalankan OpenVPN 2.3.x atau versi lebih lama.
  • Dalam daftar yang melewati parameter “--data-ciphers”, awalan “?” diperbolehkan. untuk menentukan sandi opsional yang hanya akan digunakan jika didukung di perpustakaan SSL.
  • Menambahkan opsi “-session-timeout” yang dapat digunakan untuk membatasi waktu sesi maksimum.
  • File konfigurasi memungkinkan menentukan nama dan kata sandi menggunakan tag .
  • Kemampuan untuk mengkonfigurasi MTU klien secara dinamis disediakan berdasarkan data MTU yang dikirimkan oleh server. Untuk mengubah ukuran MTU maksimum, opsi “—tun-mtu-max” telah ditambahkan (defaultnya adalah 1600).
  • Menambahkan parameter "--max-packet-size" untuk menentukan ukuran maksimum paket kontrol.
  • Menghapus dukungan untuk mode peluncuran OpenVPN melalui inetd. Opsi ncp-disable telah dihapus. Opsi verifikasi-hash dan mode kunci statis tidak digunakan lagi (hanya TLS yang dipertahankan). Protokol TLS 1.0 dan 1.1 sudah tidak digunakan lagi (parameter tls-version-min diatur ke 1.2 secara default). Implementasi generator nomor pseudo-acak bawaan (-prng) telah dihapus; implementasi PRNG dari perpustakaan kripto mbed TLS atau OpenSSL harus digunakan. Dukungan untuk PF (Packet Filtering) telah dihentikan. Secara default, kompresi dinonaktifkan (--allow-compression=no).
  • Menambahkan CHACHA20-POLY1305 ke daftar sandi default.

Sumber: opennet.ru

Tambah komentar