ProHoster > блог > интернет вести > Достапен е OpenVPN 2.6.0

Достапен е OpenVPN 2.6.0

По две и пол години од објавувањето на гранката 2.5, подготвено е изданието на OpenVPN 2.6.0, пакет за креирање виртуелни приватни мрежи што ви овозможува да организирате шифрирана врска помеѓу две клиентски машини или да обезбедите централизиран VPN сервер за истовремено работење на повеќе клиенти. Кодот OpenVPN се дистрибуира под лиценцата GPLv2, се генерираат готови бинарни пакети за Debian, Ubuntu, CentOS, RHEL и Windows.

Главните иновации:

  • Обезбедува поддршка за неограничен број врски.
  • Вклучен е модулот на јадрото ovpn-dco, што овозможува значително забрзување на перформансите. VPNЗабрзувањето се постигнува со префрлање на сите операции за енкрипција, обработка на пакети и управување со комуникациски канали на јадрото на Linux. Ова го елиминира оптоварувањето со префрлување на контекстот, овозможува оптимизација преку директен пристап до внатрешните API-ја на јадрото и го елиминира бавниот пренос на податоци помеѓу јадрото и корисничкиот простор (енкрипцијата, декрипцијата и рутирањето се извршуваат од модулот без испраќање сообраќај до обработувач на корисничкиот простор).

    Во спроведените тестови, во споредба со конфигурацијата заснована на интерфејсот tun, употребата на модулот од страната на клиентот и серверот со помош на шифрата AES-256-GCM овозможи да се постигне 8-кратно зголемување на пропусната моќ (од 370 Mbit/s до 2950 Mbit/s). При користење на модулот само на страната на клиентот, пропусната моќ се зголеми трипати за појдовниот сообраќај и не се промени за дојдовниот сообраќај. Кога го користите модулот само на страната на серверот, пропусната моќ се зголеми за 4 пати за дојдовниот сообраќај и за 35% за појдовниот сообраќај.

  • Можно е да се користи режимот TLS со самопотпишани сертификати (кога ја користите опцијата „-peer-fingerprint“, можете да ги испуштите параметрите „-ca“ и „-capath“ и да избегнете да користите PKI сервер базиран на Easy-RSA или сличен софтвер).
  • Серверот UDP имплементира режим на преговори за поврзување базиран на колачиња, кој користи колаче базирано на HMAC како идентификатор на сесијата, дозволувајќи му на серверот да изврши проверка без државјанство.
  • Додадена е поддршка за градење со библиотеката OpenSSL 3.0. Додадена е опцијата „--tls-cert-profile insecure“ за да го изберете минималното ниво на безбедност OpenSSL.
  • Додадени се нови контролни команди remote-entry-count и remote-entry-get за да се брои бројот на надворешни врски и да се прикаже список со нив.
  • За време на процесот на договор за клучеви, механизмот EKM (Exported Keying Material, RFC 5705) сега е префериран метод за добивање материјал за генерирање клучеви, наместо механизмот PRF специфичен за OpenVPN. За користење на EKM, потребна е библиотека OpenSSL или mbed TLS 2.18+.
  • Обезбедена е компатибилност со OpenSSL во режим FIPS, што овозможува користење на OpenVPN на системи кои ги исполнуваат безбедносните барања FIPS 140-2.
  • mlock спроведува проверка за да се осигура дека е резервирана доволно меморија. Кога е достапна помалку од 100 MB RAM, се повикува setrlimit() за да се зголеми лимитот.
  • Додадена е опцијата „--peer-fingerprint“ за да се провери валидноста или врзувањето на сертификатот користејќи отпечаток од прст врз основа на хашот SHA256, без користење tls-verify.
  • Скриптите се обезбедени со опција за одложена автентикација, имплементирана со користење на опцијата „-auth-user-pass-verify“. Во скриптите и приклучоците е додадена поддршка за информирање на клиентот за автентикација во фаза на чекање при користење на одложена автентикација.
  • Додаден е режим на компатибилност (-compat-mode) за да се овозможи поврзување со постари сервери кои работат со OpenVPN 2.3.x или постари верзии.
  • Листата пренесена преку параметарот „--data-ciphers“ му дозволува на префиксот „?“ да специфицира опционални шифри што ќе се користат само ако се поддржани. SSL- библиотека.
  • Додадена е опцијата „-sesion-timeout“ со која можете да го ограничите максималното време на сесија.
  • Конфигурациската датотека овозможува одредување на корисничко име и лозинка со помош на ознаката .
  • Обезбедена е можност за динамичко конфигурирање на MTU на клиентот, врз основа на податоците MTU што ги пренесува серверот. За промена на максималната големина на MTU, додадена е опцијата „—tun-mtu-max“ (стандардно е 1600).
  • Додаден е параметарот „--max-packet-size“ за да се дефинира максималната големина на контролните пакети.
  • Отстранета поддршка за режимот за стартување OpenVPN преку inetd. Опцијата ncp-disable е отстранета. Опцијата Verify-hash и режимот на статички клуч се застарени (задржан е само TLS). Протоколите TLS 1.0 и 1.1 се застарени (параметарот tls-version-min е стандардно поставен на 1.2). Вградената имплементација на генератор на псевдо-случајни броеви (-prng) е отстранета имплементацијата PRNG од mbed TLS или OpenSSL крипто библиотеките. Поддршката за PF (филтрирање пакети) е прекината. Стандардно, компресијата е оневозможена (--allow-compression=не).
  • Додаден е CHACHA20-POLY1305 на стандардниот список со шифри.

Извор: opennet.ru

Додадете коментар