2.5 бутагынын жарыяланганынан эки жарым жылдан кийин, чыгарылышы даяр OpenVPN 2.6.0, виртуалдык жеке тармактарды түзүү үчүн пакет, ал эки кардар машинасынын ортосунда шифрленген байланышты уюштурууга же бир нече кардарлардын бир убакта иштеши үчүн борборлоштурулган VPN серверин камсыз кылууга мүмкүндүк берет. Код OpenVPN GPLv2 лицензиясы боюнча таратылган, даяр бинардык пакеттер түзүлөт Debian, Ubuntu, CentOS, RHEL жана Windows.
Негизги инновациялар:
- Чексиз сандагы туташуулар үчүн колдоо көрсөтөт.
- Ovpn-dco ядро модулу камтылган, бул иштин натыйжалуулугун бир топ жогорулатат. VPNЫлдамдатуу бардык шифрлөө операцияларын, пакеттерди иштетүүнү жана байланыш каналдарын башкарууну ядро тарабына жылдыруу менен ишке ашат. Linux, бул контекстти которуу менен байланышкан кошумча чыгымдарды жок кылат, ядронун ички APIлерине түз жетүү аркылуу оптималдаштырууга мүмкүндүк берет жана ядро менен колдонуучу мейкиндигинин ортосундагы маалыматтардын жай алмашуусун жок кылат (шифрлөө, чечмелөө жана маршруттоо модуль тарабынан колдонуучу мейкиндигин иштетүүчүгө трафик жөнөтпөстөн аткарылат).
Жүргүзүлгөн сыноолордо, tun интерфейсине негизделген конфигурацияга салыштырмалуу, AES-256-GCM шифрин колдонуу менен кардар жана сервер тарабында модулду колдонуу өткөрүү жөндөмдүүлүгүн 8 эсеге жогорулатууга (370ден) жетишүүгө мүмкүндүк берди. Мбит/с чейин 2950 Мбит/сек). Модулду кардар тарабында гана колдонууда, өткөрүү жөндөмдүүлүгү чыгуучу трафик үчүн үч эсеге көбөйдү жана кирүүчү трафик үчүн өзгөргөн жок. Модулду сервер тарабында гана колдонууда өткөрүү жөндөмдүүлүгү кирген трафик үчүн 4 эсеге жана чыгуучу трафик үчүн 35% га өскөн.
- TLS режимин өзүнөн өзү кол коюлган сертификаттар менен колдонсо болот (“-peer-манжа изи” опциясын колдонгондо, “-ca” жана “-capath” параметрлерин өткөрүп жиберип, Easy-RSA же негизделген PKI серверин иштетүүдөн качсаңыз болот. окшош программалык камсыздоо).
- UDP сервери кукиге негизделген туташуу сүйлөшүү режимин ишке ашырат, ал HMAC негизиндеги Cookie файлын сессиянын идентификатору катары колдонуп, серверге жарандыгы жок текшерүүнү жүргүзүүгө мүмкүндүк берет.
- OpenSSL 3.0 китепканасы менен куруу үчүн кошумча колдоо. Минималдуу OpenSSL коопсуздук деңгээлин тандоо үчүн "--tls-cert-profile insecure" опциясы кошулду.
- Тышкы туташуулардын санын эсептөө жана алардын тизмесин көрсөтүү үчүн жаңы башкаруу командалары кошулду.
- Ачкычтарды макулдашуу процессинде, ачкыч түзүүчү материалды алуунун артыкчылыктуу ыкмасы азыр белгилүү бир механизмдин ордуна EKM (Экспорттолгон ачкыч материалдары, RFC 5705) механизми болуп саналат. OpenVPN PRF. EKMди колдонуу үчүн OpenSSL китепканасы же mbed TLS 2.18+ талап кылынат.
- FIPS режиминде OpenSSL менен шайкештик камсыздалды, бул төмөнкүлөрдү колдонууга мүмкүндүк берет OpenVPN FIPS 140-2 коопсуздук талаптарына жооп берген системалар боюнча.
- mlock жетиштүү эстутум сакталганын текшерүү үчүн текшерүү жүргүзөт. 100 МБдан аз RAM жеткиликтүү болгондо, чекти жогорулатуу үчүн setrlimit() чакырылат.
- tls-verify колдонбостон, SHA256 хэшине негизделген манжа изи менен сертификаттын жарактуулугун же милдеттүүлүгүн текшерүү үчүн “--peer-manmak изи” опциясы кошулду.
- Скрипттер "-auth-user-pass-verify" опциясын колдонуу менен ишке ашырылган кийинкиге калтырылган аутентификация опциясы менен камсыз кылынат. Скрипттерге жана плагиндерге кийинкиге калтырылган аутентификацияны колдонууда кардарга күтүлүп жаткан аутентификация жөнүндө маалымат берүү үчүн колдоо кошулду.
- колдонгон эски серверлерге туташууга мүмкүндүк берүү үчүн шайкештик режими (--compat-mode) кошулду OpenVPN 2.3.x же андан эски версиялары.
- "--data-ciphers" параметри аркылуу берилген тизме "?" префиксине колдоого алынган учурда гана колдонула турган кошумча шифрлерди көрсөтүүгө мүмкүндүк берет. SSL-китепкана.
- Сеанстын максималдуу убактысын чектей турган "-session-timeout" опциясы кошулду.
- Конфигурация файлы теги менен атын жана сырсөзүн көрсөтүүгө мүмкүндүк берет .
- Кардардын MTU динамикалык конфигурациялоо мүмкүнчүлүгү сервер тарабынан берилген MTU маалыматтарынын негизинде берилет. MTU максималдуу өлчөмүн өзгөртүү үчүн “—tun-mtu-max” опциясы кошулду (демейки – 1600).
- Башкаруу пакеттеринин максималдуу өлчөмүн аныктоо үчүн "--max-packet-size" параметри кошулду.
- Ишке киргизүү режимин колдоо алынып салынды OpenVPN inetd аркылуу. ncp-disable опциясы алынып салынды. verify-hash опциясы жана статикалык ачкыч режими алынып салынды (TLS гана сакталып калды). TLS 1.0 жана 1.1 алынып салынды (tls-version-min параметри эми демейки боюнча 1.2ге коюлган). Орнотулган псевдо-кокустук сан генератору (--prng) алынып салынды; mbed TLS же OpenSSL крипто китепканаларынан PRNG ишке ашыруусу колдонулушу керек. Пакеттерди чыпкалоону (PF) колдоо токтотулду. Кысуу демейки боюнча өчүрүлгөн (--allow-compression=no).
- Демейки шифрлер тизмесине CHACHA20-POLY1305 кошулду.
Source: opennet.ru
