ProHoster > Blog > vaovao amin'ny Internet > OpenVPN 2.6.0 misy

OpenVPN 2.6.0 misy

Taorian'ny roa taona sy tapany taorian'ny namoahana ny sampana 2.5, dia efa voaomana ny famoahana ny OpenVPN 2.6.0, fonosana iray hamoronana tambajotra tsy miankina virtoaly izay ahafahanao mandamina fifandraisana misy miafina eo amin'ny milina mpanjifa roa na manome mpizara VPN foibe. ho an'ny fiaraha-miasa amin'ny mpanjifa maromaro. Ny kaody OpenVPN dia zaraina amin'ny alΓ lan'ny fahazoan-dΓ lana GPLv2, ny fonosana binary efa vita dia noforonina ho an'ny Debian, Ubuntu, CentOS, RHEL ary Windows.

Fanavaozana lehibe:

  • Manome fanohanana ho an'ny fifandraisana tsy misy fetra.
  • Ny module kernel ovpn-dco dia tafiditra, izay ahafahanao manafaingana be ny fampisehoana VPN. Ny fanafainganana dia vita amin'ny alΓ lan'ny famindrana ny asa fanafenana rehetra, ny fanodinana fonosana ary ny fitantanana ny fantsom-pifandraisana mankany amin'ny lafiny kernel Linux, izay manafoana ny overhead mifandraika amin'ny fiovan'ny contexte, dia ahafahana manatsara ny asa amin'ny alΓ lan'ny fidirana mivantana amin'ny API kernel anatiny ary manafoana ny famindrana data miadana eo anelanelan'ny kernel ary ny habaka mpampiasa (ny encryption, ny decryption ary ny routing dia ataon'ny module nefa tsy mandefa fifamoivoizana any amin'ny mpitantana eo amin'ny habaka mpampiasa).

    Ao amin'ny fitsapana natao, raha ampitahaina amin'ny fanamafisana mifototra amin'ny tun interface tsara, ny fampiasana ny maody eo amin'ny mpanjifa sy ny server lafiny mampiasa ny AES-256-GCM cipher dia nahafahana nahatratra 8 heny ny throughput (avy amin'ny 370). Mbit/s hatramin'ny 2950 Mbit/s). Rehefa mampiasa ny maodely amin'ny lafiny mpanjifa ihany, dia nitombo avo telo heny ny throughput ho an'ny fifamoivoizana mivoaka ary tsy niova ho an'ny fifamoivoizana miditra. Rehefa mampiasa ny maody amin'ny lafiny mpizara ihany, dia nitombo in-4 ny fidirana ho an'ny fifamoivoizana miditra ary 35% ho an'ny fifamoivoizana mivoaka.

  • Azo atao ny mampiasa ny maodely TLS miaraka amin'ny mari-pankasitrahana nosoniavin'ny tena (rehefa mampiasa ny safidy "-peer-fingerprint" ianao dia azonao atao ny manala ny mari-pamantarana "-ca" sy "-capath" ary misoroka ny fandefasana mpizara PKI mifototra amin'ny Easy-RSA na rindrambaiko mitovy).
  • Ny mpizara UDP dia mametraka fomba fifampiraharahana amin'ny fifandraisana mifototra amin'ny Cookie, izay mampiasa Cookie mifototra amin'ny HMAC ho famantarana ny fivoriana, mamela ny mpizara hanao fanamarinana tsy misy fanjakana.
  • Fanampiana fanampiny amin'ny fananganana miaraka amin'ny tranomboky OpenSSL 3.0. Nampiana safidy "--tls-cert-profile tsy azo antoka" hisafidianana ny haavon'ny fiarovana OpenSSL kely indrindra.
  • Niampy baiko fanaraha-maso vaovao remote-entry-count sy remote-entry-get hanisa ny isan'ny fifandraisana ivelany ary mampiseho ny lisitry ny azy.
  • Nandritra ny fizotran'ny fifanarahana fototra, ny mekanika EKM (Exported Keying Material, RFC 5705) no fomba tsara indrindra hahazoana fitaovana famokarana fototra, fa tsy ny mekanika PRF manokana OpenVPN. Raha hampiasa ny EKM dia ilaina ny tranomboky OpenSSL na mbed TLS 2.18+.
  • Ny fifanarahana amin'ny OpenSSL amin'ny fomba FIPS dia omena, izay mamela ny fampiasana OpenVPN amin'ny rafitra mifanaraka amin'ny fepetra fiarovana FIPS 140-2.
  • mlock dia mametraka fisavana mba hahazoana antoka fa ampy ny fitadidiana. Rehefa latsaky ny 100 MB ny RAM dia misy, setrlimit() dia antsoina hampitombo ny fetra.
  • Nampiana ny safidy "--peer-fingerprint" hanamarinana ny maha-marina na ny famatorana ny taratasy fanamarinana amin'ny alΓ lan'ny fanondro mifototra amin'ny hash SHA256, tsy mampiasa tls-verify.
  • Ny script dia omena safidy amin'ny fanamarinana nahemotra, ampiharina amin'ny alΓ lan'ny safidy "-auth-user-pass-verify". Ny fanohanana ny fampahafantarana ny mpanjifa momba ny fanamarinana miandry rehefa mampiasa ny fanamarinana nahemotra dia nampiana amin'ny script sy plugins.
  • Nampiana fomba fampifanarahana (-compat-mode) ahafahana mifandray amin'ireo mpizara tranainy mampiasa OpenVPN 2.3.x na dikan-teny taloha.
  • Ao amin'ny lisitra nandalo ny parameter "--data-ciphers", ny prefix "?" dia avela. hamaritana ciphers azo ampiasaina izay ampiasaina raha tohanana ao amin'ny tranomboky SSL.
  • Safidy fanampiny "-session-timeout" izay ahafahanao mametra ny fotoam-pivoriana ambony indrindra.
  • Ny rakitra fikirakirana dia mamela ny famaritana anarana sy tenimiafina amin'ny fampiasana ny tag .
  • Ny fahafahana manitsy ny MTU an'ny mpanjifa amin'ny fomba mavitrika dia omena, mifototra amin'ny angon-drakitra MTU ampitain'ny mpizara. Raha hanova ny haben'ny MTU ambony indrindra, dia nampiana ny safidy "β€”tun-mtu-max" (1600 ny default).
  • Nampiana marika "--max-packet-size" hamaritana ny haben'ny fonosana fanaraha-maso ambony indrindra.
  • Nesorina ny fanohanana ny fomba fandefasana OpenVPN amin'ny alΓ lan'ny inetd. Nesorina ny safidy ncp-disable. Ny safidy verify-hash sy ny maody fanalahidy static dia tsy ampiasaina intsony (TLS ihany no voatazona). Ny protocols TLS 1.0 sy 1.1 dia tsy ampiasaina intsony (ny parameter tls-version-min dia napetraka amin'ny 1.2 amin'ny alΓ lan'ny default). Nesorina ny fampiharana pseudo-random generator (-prng) naorina; tokony hampiasaina ny fampiharana PRNG avy amin'ny tranomboky crypto mbed TLS na OpenSSL. Ny fanohanana ny PF (Packet Filtering) dia natsahatra. Amin'ny alΓ lan'ny default, ny famatrarana dia kilemaina (--allow-compression=no).
  • Nampiana CHACHA20-POLY1305 ao amin'ny lisitry ny cipher default.

Source: opennet.ru

Add a comment