Praėjus dvejiems su puse metų nuo 2.5 filialo paskelbimo, buvo parengtas OpenVPN 2.6.0 leidimas – virtualių privačių tinklų kūrimo paketas, leidžiantis organizuoti šifruotą ryšį tarp dviejų klientų mašinų arba teikti centralizuotą VPN serverį. kelių klientų veikimui vienu metu. OpenVPN kodas platinamas pagal GPLv2 licenciją, generuojami paruošti dvejetainiai paketai, skirti Debian, Ubuntu, CentOS, RHEL ir Windows.
Pagrindinės naujovės:
- Teikia palaikymą neribotam skaičiui jungčių.
- Įtrauktas ovpn-dco branduolio modulis, kuris leidžia žymiai pagreitinti VPN veikimą. Paspartinimas pasiekiamas perkeliant visas šifravimo operacijas, paketų apdorojimą ir ryšio kanalų valdymą į Linux branduolio pusę, o tai pašalina su konteksto perjungimu susijusias pridėtines išlaidas, leidžia optimizuoti darbą tiesiogiai prisijungiant prie vidinių branduolio API ir pašalina lėtą duomenų perdavimą tarp branduolio. ir vartotojo erdvė (šifravimą, iššifravimą ir maršruto parinkimą atlieka modulis, nesiunčiant srauto į vartotojo erdvėje esančią tvarkyklę).
Atliekant bandymus, palyginti su konfigūracija, pagrįsta tun sąsaja, modulio naudojimas kliento ir serverio pusėse naudojant AES-256-GCM šifrą leido pasiekti 8 kartus didesnį pralaidumą (nuo 370). Mbit/s iki 2950 Mbit/s). Naudojant modulį tik kliento pusėje, išeinančio srauto pralaidumas padidėjo tris kartus, o įeinančio srauto nepakito. Naudojant modulį tik serverio pusėje, gaunamo srauto pralaidumas padidėjo 4 kartus, o išeinančio srauto – 35%.
- Galima naudoti TLS režimą su savarankiškai pasirašytais sertifikatais (naudodami parinktį „-peer-fingerprint“, galite praleisti parametrus „-ca“ ir „-capath“ ir neleisti paleisti PKI serverio, pagrįsto Easy-RSA arba panaši programinė įranga).
- UDP serveris įgyvendina slapukais pagrįstą ryšio derybų režimą, kuriame kaip seanso identifikatorius naudojamas HMAC pagrįstas slapukas, leidžiantis serveriui atlikti be statuso patikrinimą.
- Pridėtas kūrimo su OpenSSL 3.0 biblioteka palaikymas. Pridėta parinktis „--tls-cert-profile insecure“, kad būtų galima pasirinkti minimalų OpenSSL saugos lygį.
- Pridėtos naujos valdymo komandos remote-entry-count ir remote-entry-get, kurios suskaičiuoja išorinių jungčių skaičių ir rodo jų sąrašą.
- Rakto susitarimo proceso metu EKM (eksportuotos raktų medžiagos, RFC 5705) mechanizmas dabar yra tinkamiausias būdas gauti raktų generavimo medžiagą, o ne OpenVPN specifinis PRF mechanizmas. Norint naudoti EKM, reikalinga OpenSSL biblioteka arba mbed TLS 2.18+.
- Suteikiamas suderinamumas su OpenSSL FIPS režimu, kuris leidžia naudoti OpenVPN sistemose, kurios atitinka FIPS 140-2 saugumo reikalavimus.
- mlock patikrina, ar rezervuota pakankamai atminties. Kai yra mažiau nei 100 MB RAM, iškviečiama setrlimit(), kad būtų padidinta riba.
- Pridėta parinktis „--peer-fingerprint“, kad patikrintumėte sertifikato galiojimą arba susiejimą naudodami kontrolinį kodą, pagrįstą SHA256 maiša, nenaudojant tls-verify.
- Scenarijai pateikiami su atidėto autentifikavimo parinktimi, įdiegta naudojant parinktį „-auth-user-pass-verify“. Prie scenarijų ir įskiepių pridėta palaikymas, skirtas informuoti klientą apie laukiantį autentifikavimą, kai naudojamas atidėtas autentifikavimas.
- Pridėtas suderinamumo režimas (-compat-mode), kad būtų galima prisijungti prie senesnių serverių, kuriuose veikia OpenVPN 2.3.x arba senesnės versijos.
- Sąraše, perduodamame per parametrą „--data-ciphers“, leidžiamas priešdėlis „? norėdami apibrėžti pasirenkamus šifrus, kurie bus naudojami tik tuo atveju, jei bus palaikomi SSL bibliotekoje.
- Pridėta parinktis „-session-timeout“, su kuria galite apriboti maksimalų seanso laiką.
- Konfigūracijos failas leidžia nurodyti vardą ir slaptažodį naudojant žymą .
- Suteikiama galimybė dinamiškai konfigūruoti kliento MTU, remiantis serverio perduodamais MTU duomenimis. Norėdami pakeisti maksimalų MTU dydį, buvo pridėta parinktis „—tun-mtu-max“ (numatytasis yra 1600).
- Pridėtas parametras „--max-packet-size“, kad būtų nustatytas didžiausias valdymo paketų dydis.
- Pašalintas OpenVPN paleidimo režimo palaikymas per inetd. Parinktis „ncp-disable“ buvo pašalinta. Patikrinimo maišos parinktis ir statinio rakto režimas nebenaudojami (išliko tik TLS). TLS 1.0 ir 1.1 protokolai buvo nebenaudojami (parametras tls-version-min pagal numatytuosius nustatymus nustatytas į 1.2). Integruotas pseudo-atsitiktinių skaičių generatoriaus diegimas (-prng) buvo pašalintas; turėtų būti naudojamas PRNG įgyvendinimas iš mbed TLS arba OpenSSL kriptovaliutų bibliotekų. PF (paketų filtravimo) palaikymas buvo nutrauktas. Pagal numatytuosius nustatymus glaudinimas išjungtas (--allow-compression=no).
- CHACHA20-POLY1305 įtrauktas į numatytąjį šifrų sąrašą.
Šaltinis: opennet.ru