ProHoster > Blog > netfréttir > OpenVPN 2.6.0 í boði

OpenVPN 2.6.0 í boði

Eftir tvö og hálft ár frá útgáfu 2.5 útibúsins hefur útgáfa OpenVPN 2.6.0 verið undirbúin, pakki til að búa til sýndar einkanet sem gerir þér kleift að skipuleggja dulkóðaða tengingu á milli tveggja biðlaravéla eða útvega miðlægan VPN netþjón fyrir samtímis rekstur nokkurra viðskiptavina. OpenVPN kóðanum er dreift undir GPLv2 leyfinu, tilbúnir tvöfaldur pakkar eru búnir til fyrir Debian, Ubuntu, CentOS, RHEL og Windows.

Helstu nýjungar:

  • Veitir stuðning fyrir ótakmarkaðan fjölda tenginga.
  • ovpn-dco kjarnaeiningin er innifalin, sem gerir þér kleift að flýta verulega fyrir VPN-afköstum. Hröðun er náð með því að færa allar dulkóðunaraðgerðir, pakkavinnslu og stjórnun samskiptarása yfir á Linux kjarnahliðina, sem útilokar kostnaðinn sem tengist samhengisskiptum, gerir það mögulegt að hagræða vinnu með beinum aðgangi að innri kjarna API og útilokar hægan gagnaflutning milli kjarna. og notendarými (dulkóðun, afkóðun og leið eru framkvæmd af einingunni án þess að senda umferð til meðhöndlunar í notendarými).

    Í prófunum sem gerðar voru, samanborið við stillingar byggðar á tun viðmótinu, gerði notkun einingarinnar á biðlara- og miðlarahliðinni með AES-256-GCM dulmálinu mögulegt að ná 8-földun á afköstum (frá 370 Mbit/s til 2950 Mbit/s). Þegar einingin var notuð eingöngu á viðskiptavinamegin þrefaldaðist afköst fyrir útleið og breyttist ekki fyrir komandi umferð. Þegar einingin er aðeins notuð á netþjónshliðinni jókst afköst um 4 sinnum fyrir komandi umferð og um 35% fyrir útleið.

  • Það er hægt að nota TLS ham með sjálfundirrituðum vottorðum (þegar þú notar "-peer-fingerprint" valmöguleikann geturðu sleppt "-ca" og "-capath" breytunum og forðast að keyra PKI miðlara sem byggir á Easy-RSA eða svipaður hugbúnaður).
  • UDP þjónninn útfærir tengingarviðræðuham sem byggir á vafrakökum, sem notar HMAC-undirstaða vafraköku sem lotuauðkenni, sem gerir þjóninum kleift að framkvæma ástandslausa sannprófun.
  • Bætti við stuðningi við byggingu með OpenSSL 3.0 bókasafninu. Bætt við "--tls-cert-profile insecure" valkostinum til að velja lágmarks OpenSSL öryggisstig.
  • Bætt við nýjum stjórnskipunum remote-entry-count og remote-entry-get til að telja fjölda ytri tenginga og sýna lista yfir þær.
  • Meðan á lykilsamningsferlinu stendur er EKM (Exported Keying Material, RFC 5705) vélbúnaðurinn nú ákjósanlegasta aðferðin til að fá lykilframleiðsluefni, í stað OpenVPN-sértæks PRF vélbúnaðar. Til að nota EKM þarf OpenSSL bókasafnið eða mbed TLS 2.18+.
  • Samhæfni við OpenSSL í FIPS ham er veitt, sem gerir notkun OpenVPN á kerfum sem uppfylla FIPS 140-2 öryggiskröfur.
  • mlock útfærir athugun til að tryggja að nægilegt minni sé frátekið. Þegar minna en 100 MB af vinnsluminni er tiltækt er setrlimit() kallað til að auka mörkin.
  • Bætti við „--peer-fingerprint“ valkostinum til að athuga gildi eða bindingu vottorðs með því að nota fingrafar byggt á SHA256 kjötkássa, án þess að nota tls-verify.
  • Forskriftir eru með möguleika á frestað auðkenningu, útfærð með „-auth-user-pass-verify“ valkostinum. Stuðningur við að upplýsa viðskiptavininn um sannvottun í bið þegar frestað auðkenning er notuð hefur verið bætt við forskriftir og viðbætur.
  • Bætt við eindrægniham (-compat-mode) til að leyfa tengingar við eldri netþjóna sem keyra OpenVPN 2.3.x eða eldri útgáfur.
  • Á listanum sem farið er í gegnum „--data-ciphers“ færibreytuna er forskeytið „?” leyft. til að skilgreina valfrjálsa dulmál sem verða aðeins notaðar ef þær eru studdar í SSL bókasafninu.
  • Bætt við valmöguleika „-session-timeout“ sem þú getur takmarkað hámarks lotutíma.
  • Stillingarskráin gerir kleift að tilgreina nafn og lykilorð með því að nota merkið .
  • Möguleikinn á að stilla MTU viðskiptavinarins á virkan hátt er veittur, byggt á MTU gögnunum sem send eru af þjóninum. Til að breyta hámarks MTU stærð hefur valkostinum „—tun-mtu-max“ verið bætt við (sjálfgefið er 1600).
  • Bætt við „--max-packet-size“ færibreytu til að skilgreina hámarksstærð stýripakka.
  • Fjarlægði stuðning fyrir OpenVPN ræsingarham í gegnum inetd. ncp-disable valkosturinn hefur verið fjarlægður. Verify-hash valkosturinn og kyrrstöðulykillinn hefur verið úreltur (aðeins TLS hefur verið haldið). TLS 1.0 og 1.1 samskiptareglur hafa verið úreltar (tls-version-min færibreytan er sjálfgefið stillt á 1.2). Innbyggða gervi-handahófsnúmeraútfærslan (-prng) hefur verið fjarlægð; Nota ætti PRNG útfærsluna úr mbed TLS eða OpenSSL dulritunarsafnunum. Stuðningur við PF (Packet Filtering) hefur verið hætt. Sjálfgefið er að samþjöppun er óvirk (-allow-compression=nei).
  • Bætti CHACHA20-POLY1305 við sjálfgefna dulmálslistann.

Heimild: opennet.ru

Bæta við athugasemd