ProHoster > Blogs > interneta ziņas > Pieejams OpenVPN 2.6.0

Pieejams OpenVPN 2.6.0

Pēc divarpus gadiem kopš 2.5 filiāles publicēšanas ir sagatavots OpenVPN 2.6.0 izlaidums, pakotne virtuālo privāto tīklu izveidei, kas ļauj organizēt šifrētu savienojumu starp divām klientu mašīnām vai nodrošināt centralizētu VPN serveri. vairāku klientu vienlaicīgai darbībai. OpenVPN kods tiek izplatīts saskaņā ar GPLv2 licenci, tiek ģenerētas gatavas binārās pakotnes Debian, Ubuntu, CentOS, RHEL un Windows.

Galvenie jauninājumi:

  • Nodrošina atbalstu neierobežotam savienojumu skaitam.
  • Iekļauts ovpn-dco kodola modulis, kas ļauj ievērojami paātrināt VPN veiktspēju. Paātrinājums tiek panākts, pārvietojot visas šifrēšanas darbības, pakešu apstrādi un sakaru kanālu pārvaldību uz Linux kodola pusi, kas novērš ar konteksta pārslēgšanu saistītās pieskaitāmās izmaksas, ļauj optimizēt darbu, tieši piekļūstot iekšējiem kodola API un novērš lēnu datu pārraidi starp kodolu. un lietotāja telpa (šifrēšanu, atšifrēšanu un maršrutēšanu veic modulis, nenosūtot trafiku lietotāja telpā esošajam apstrādātājam).

    Veiktajos testos, salīdzinot ar konfigurāciju, kas balstīta uz tun interfeisu, moduļa izmantošana klienta un servera pusē, izmantojot AES-256-GCM šifru, ļāva sasniegt 8 reizes lielāku caurlaidspēju (no 370 Mbit/s līdz 2950 Mbit/s). Izmantojot moduli tikai klienta pusē, caurlaidspēja izejošajai trafikai palielinājās trīs reizes, bet ienākošajai trafikai nemainījās. Lietojot moduli tikai servera pusē, caurlaidspēja ienākošajai trafikai pieauga 4 reizes un izejošajai trafikai par 35%.

  • Ir iespējams izmantot TLS režīmu ar pašparakstītiem sertifikātiem (izmantojot opciju “-peer-fingerprint”, varat izlaist parametrus “-ca” un “-capath” un izvairīties no PKI servera darbināšanas, kura pamatā ir Easy-RSA vai līdzīga programmatūra).
  • UDP serveris ievieš uz sīkfailiem balstītu savienojuma sarunu režīmu, kurā kā sesijas identifikators tiek izmantots uz HMAC balstīts sīkfails, ļaujot serverim veikt bezvalsts verifikāciju.
  • Pievienots atbalsts veidošanai, izmantojot OpenSSL 3.0 bibliotēku. Pievienota opcija "--tls-cert-profile insecure", lai atlasītu minimālo OpenSSL drošības līmeni.
  • Pievienotas jaunas vadības komandas remote-entry-count un remote-entry-get, lai uzskaitītu ārējo savienojumu skaitu un parādītu to sarakstu.
  • Atslēgu vienošanās procesa laikā EKM (Exported Keying Material, RFC 5705) mehānisms tagad ir vēlamā metode atslēgu ģenerēšanas materiāla iegūšanai, nevis OpenVPN specifiskais PRF mehānisms. Lai izmantotu EKM, ir nepieciešama OpenSSL bibliotēka vai mbed TLS 2.18+.
  • Tiek nodrošināta saderība ar OpenSSL FIPS režīmā, kas ļauj izmantot OpenVPN sistēmās, kas atbilst FIPS 140-2 drošības prasībām.
  • mlock ievieš pārbaudi, lai nodrošinātu, ka ir rezervēts pietiekami daudz atmiņas. Ja ir pieejams mazāk nekā 100 MB RAM, tiek izsaukts setrlimit(), lai palielinātu ierobežojumu.
  • Pievienota opcija “--peer-fingerprint”, lai pārbaudītu sertifikāta derīgumu vai saistīšanu, izmantojot pirkstu nospiedumu, kura pamatā ir SHA256 jaucējkods, neizmantojot tls-verify.
  • Skripti tiek nodrošināti ar atliktās autentifikācijas iespēju, kas tiek ieviesta, izmantojot opciju “-auth-user-pass-verify”. Skriptiem un spraudņiem ir pievienots atbalsts klienta informēšanai par gaidāmo autentifikāciju, izmantojot atlikto autentifikāciju.
  • Pievienots saderības režīms (-compat-mode), lai atļautu savienojumus ar vecākiem serveriem, kuros darbojas OpenVPN 2.3.x vai vecākas versijas.
  • Sarakstā, kas tiek nodots caur parametru “--data-ciphers”, ir atļauts lietot prefiksu “?”. lai definētu izvēles šifrus, kas tiks izmantoti tikai tad, ja tie tiks atbalstīti SSL bibliotēkā.
  • Pievienota opcija “-session-timeout”, ar kuru var ierobežot maksimālo sesijas laiku.
  • Konfigurācijas fails ļauj norādīt vārdu un paroli, izmantojot tagu .
  • Tiek nodrošināta iespēja dinamiski konfigurēt klienta MTU, pamatojoties uz servera pārsūtītajiem MTU datiem. Lai mainītu maksimālo MTU lielumu, ir pievienota opcija “—tun-mtu-max” (noklusējums ir 1600).
  • Pievienots parametrs "--max-packet-size", lai definētu kontroles pakešu maksimālo izmēru.
  • Noņemts atbalsts OpenVPN palaišanas režīmam, izmantojot inetd. Opcija ncp-disable ir noņemta. Pārbaudes jaukšanas opcija un statiskās atslēgas režīms ir novecojuši (tikai TLS ir saglabāts). TLS 1.0 un 1.1 protokoli ir novecojuši (parametrs tls-version-min pēc noklusējuma ir iestatīts uz 1.2). Iebūvētā pseidogadījuma skaitļu ģeneratora ieviešana (-prng) ir noņemta; jāizmanto PRNG implementācija no mbed TLS vai OpenSSL kriptotēku bibliotēkām. PF (pakešu filtrēšanas) atbalsts ir pārtraukts. Pēc noklusējuma saspiešana ir atspējota (--allow-compression=no).
  • CHACHA20-POLY1305 ir pievienots noklusējuma šifru sarakstam.

Avots: opennet.ru

Pievieno komentāru