OpenVPN 2.6.0 זמין

לאחר שנתיים וחצי מאז פרסום סניף 2.5, הוכן שחרור OpenVPN 2.6.0, חבילה ליצירת רשתות וירטואליות פרטיות המאפשרת לארגן חיבור מוצפן בין שני מכונות לקוח או לספק שרת VPN מרכזי. לפעולה בו זמנית של מספר לקוחות. קוד OpenVPN מופץ תחת רישיון GPLv2, חבילות בינאריות מוכנות נוצרות עבור Debian, Ubuntu, CentOS, RHEL ו-Windows.

חידושים עיקריים:

• מספק תמיכה למספר בלתי מוגבל של חיבורים.
• מודול ליבת ovpn-dco כלול, המאפשר לך להאיץ משמעותית את ביצועי ה-VPN. האצה מושגת על ידי העברת כל פעולות ההצפנה, עיבוד המנות וניהול ערוצי התקשורת לצד ליבת לינוקס, מה שמבטל את התקורה הקשורה למעבר ההקשר, מאפשר לייעל את העבודה על ידי גישה ישירה לממשקי ה-API הפנימיים של הליבה ומבטל העברת נתונים איטית בין הליבה ומרחב משתמש (הצפנה, פענוח וניתוב מתבצעים על ידי המודול מבלי לשלוח תעבורה למטפל במרחב המשתמש).

  בבדיקות שבוצעו, בהשוואה לתצורה המבוססת על ממשק tun, השימוש במודול בצד הלקוח והשרת באמצעות צופן AES-256-GCM איפשר להגיע לעלייה של פי 8 בתפוקה (מ-370 Mbit/s עד 2950 Mbit/s). בעת שימוש במודול רק בצד הלקוח, התפוקה גדלה פי שלושה עבור תעבורה יוצאת ולא השתנתה עבור תעבורה נכנסת. בשימוש במודול רק בצד השרת, התפוקה גדלה פי 4 עבור תעבורה נכנסת וב-35% עבור תעבורה יוצאת.

• אפשר להשתמש במצב TLS עם אישורים בחתימה עצמית (בעת שימוש באפשרות "-peer-fingerprint", ניתן להשמיט את הפרמטרים "-ca" ו-"-capath" ולהימנע מהפעלת שרת PKI המבוסס על Easy-RSA או תוכנה דומה).
• שרת UDP מיישם מצב משא ומתן על חיבור מבוסס Cookie, המשתמש בעוגייה מבוססת HMAC כמזהה הפגישה, מה שמאפשר לשרת לבצע אימות חסר מצב.
• נוספה תמיכה בבנייה עם ספריית OpenSSL 3.0. נוספה אפשרות "--tls-cert-profile insecure" לבחירת רמת האבטחה המינימלית של OpenSSL.
• נוספו פקודות שליטה חדשות מרחוק-entry-count ו-remote-entry-get כדי לספור את מספר החיבורים החיצוניים ולהציג רשימה שלהם.
• במהלך תהליך הסכם המפתח, מנגנון ה-EKM (Exported Keying Material, RFC 5705) הוא כעת השיטה המועדפת להשגת חומר לייצור מפתח, במקום מנגנון PRF הספציפי ל-OpenVPN. כדי להשתמש ב-EKM, יש צורך בספריית OpenSSL או mbed TLS 2.18+.
• מסופקת תאימות עם OpenSSL במצב FIPS, המאפשרת שימוש ב-OpenVPN במערכות העומדות בדרישות האבטחה של FIPS 140-2.
• mlock מיישמת בדיקה כדי לוודא שמספיק זיכרון שמור. כאשר פחות מ-100 MB של זיכרון RAM זמין, setrlimit() נקרא להגדיל את המגבלה.
• נוספה אפשרות "--peer-fingerprint" לבדיקת תקפות או כריכה של אישור באמצעות טביעת אצבע המבוססת על Hash SHA256, מבלי להשתמש ב-tls-verify.
• סקריפטים מסופקים עם אפשרות של אימות דחוי, מיושם באמצעות אפשרות "-auth-user-pass-verify". תמיכה ליידע את הלקוח לגבי אימות ממתין בעת ​​שימוש באימות דחוי נוספה לסקריפטים ותוספים.
• נוסף מצב תאימות (-compat-mode) כדי לאפשר חיבורים לשרתים ישנים יותר עם OpenVPN 2.3.x או גרסאות ישנות יותר.
• ברשימה המועברת דרך הפרמטר "--data-ciphers", הקידומת "?" מותרת. כדי להגדיר צפנים אופציונליים שישמשו רק אם נתמכים בספריית SSL.
• נוספה אפשרות "-session-timeout" שבאמצעותה ניתן להגביל את זמן ההפעלה המקסימלי.
• קובץ התצורה מאפשר לציין שם וסיסמה באמצעות התג .
• ניתנת היכולת להגדיר באופן דינמי את ה-MTU של הלקוח, בהתבסס על נתוני ה-MTU המועברים על ידי השרת. כדי לשנות את גודל ה-MTU המקסימלי, נוספה האפשרות "-tun-mtu-max" (ברירת המחדל היא 1600).
• נוסף פרמטר "--max-packet-size" כדי להגדיר את הגודל המרבי של מנות הבקרה.
• הוסרה התמיכה במצב השקת OpenVPN דרך inetd. האפשרות ncp-disable הוסרה. אפשרות ה-Verify-hash ומצב מפתח סטטי הוצאו משימוש (רק TLS נשמר). הפרוטוקולים TLS 1.0 ו-1.1 הוצאו משימוש (פרמטר tls-version-min מוגדר ל-1.2 כברירת מחדל). היישום המובנה של מחולל המספרים הפסאודו-אקראיים (-prng) הוסר; יש להשתמש ביישום PRNG מספריות ההצפנה mbed TLS או OpenSSL. התמיכה ב-PF (Packet Filtering) הופסקה. כברירת מחדל, הדחיסה מושבתת (--allow-compression=no).
• הוסיף את CHACHA20-POLY1305 לרשימת הצפנים המוגדרת כברירת מחדל.

מקור: OpenNet.ru