ProHoster > Blog > berita internet > OpenVPN 2.6.0 tersedia

OpenVPN 2.6.0 tersedia

Selepas dua setengah tahun sejak penerbitan cawangan 2.5, keluaran OpenVPN 2.6.0 telah disediakan, pakej untuk mencipta rangkaian peribadi maya yang membolehkan anda mengatur sambungan yang disulitkan antara dua mesin pelanggan atau menyediakan pelayan VPN berpusat untuk operasi serentak beberapa pelanggan. Kod OpenVPN diedarkan di bawah lesen GPLv2, pakej binari sedia dijana untuk Debian, Ubuntu, CentOS, RHEL dan Windows.

Inovasi utama:

  • Menyediakan sokongan untuk bilangan sambungan yang tidak terhad.
  • Modul kernel ovpn-dco disertakan, yang membolehkan anda mempercepatkan prestasi VPN dengan ketara. Pecutan dicapai dengan mengalihkan semua operasi penyulitan, pemprosesan paket dan pengurusan saluran komunikasi ke bahagian kernel Linux, yang menghapuskan overhed yang berkaitan dengan penukaran konteks, memungkinkan untuk mengoptimumkan kerja dengan mengakses terus API kernel dalaman dan menghapuskan pemindahan data yang perlahan antara kernel dan ruang pengguna (penyulitan, penyahsulitan dan penghalaan dilakukan oleh modul tanpa menghantar trafik kepada pengendali dalam ruang pengguna).

    Dalam ujian yang dijalankan, berbanding dengan konfigurasi berdasarkan antara muka tun, penggunaan modul pada sisi klien dan pelayan menggunakan sifir AES-256-GCM memungkinkan untuk mencapai peningkatan 8 kali ganda dalam daya pemprosesan (daripada 370 Mbit/s hingga 2950 Mbit/s). Apabila menggunakan modul hanya pada bahagian pelanggan, daya pemprosesan meningkat tiga kali ganda untuk trafik keluar dan tidak berubah untuk trafik masuk. Apabila menggunakan modul hanya pada bahagian pelayan, daya pengeluaran meningkat sebanyak 4 kali ganda untuk trafik masuk dan sebanyak 35% untuk trafik keluar.

  • Anda boleh menggunakan mod TLS dengan sijil yang ditandatangani sendiri (apabila menggunakan pilihan "-peer-cap jari", anda boleh meninggalkan parameter "-ca" dan "-capath" dan mengelakkan menjalankan pelayan PKI berdasarkan Easy-RSA atau perisian serupa).
  • Pelayan UDP melaksanakan mod rundingan sambungan berasaskan Kuki, yang menggunakan Kuki berasaskan HMAC sebagai pengecam sesi, membenarkan pelayan melakukan pengesahan tanpa kewarganegaraan.
  • Menambah sokongan untuk membina dengan perpustakaan OpenSSL 3.0. Menambahkan pilihan "--tls-cert-profile insecure" untuk memilih tahap keselamatan OpenSSL minimum.
  • Menambahkan arahan kawalan baharu remote-entry-count dan remote-entry-get untuk mengira bilangan sambungan luaran dan memaparkan senarai sambungan tersebut.
  • Semasa proses perjanjian utama, mekanisme EKM (Exported Keying Material, RFC 5705) kini merupakan kaedah pilihan untuk mendapatkan bahan penjanaan utama, bukannya mekanisme PRF khusus OpenVPN. Untuk menggunakan EKM, perpustakaan OpenSSL atau mbed TLS 2.18+ diperlukan.
  • Keserasian dengan OpenSSL dalam mod FIPS disediakan, yang membolehkan penggunaan OpenVPN pada sistem yang memenuhi keperluan keselamatan FIPS 140-2.
  • mlock melaksanakan semakan untuk memastikan bahawa memori yang mencukupi disimpan. Apabila kurang daripada 100 MB RAM tersedia, setrlimit() dipanggil untuk meningkatkan had.
  • Menambahkan pilihan "--peer-cap jari" untuk menyemak kesahihan atau pengikatan sijil menggunakan cap jari berdasarkan cincang SHA256, tanpa menggunakan tls-verify.
  • Skrip disediakan dengan pilihan pengesahan tertunda, dilaksanakan menggunakan pilihan "-auth-user-pass-verify". Sokongan untuk memaklumkan pelanggan tentang pengesahan yang belum selesai apabila menggunakan pengesahan tertunda telah ditambahkan pada skrip dan pemalam.
  • Menambahkan mod keserasian (-compat-mode) untuk membenarkan sambungan ke pelayan lama yang menjalankan OpenVPN 2.3.x atau versi yang lebih lama.
  • Dalam senarai yang melalui parameter "--data-ciphers", awalan "?" dibenarkan. untuk menentukan sifir pilihan yang hanya akan digunakan jika disokong dalam perpustakaan SSL.
  • Menambahkan pilihan "-session-timeout" yang mana anda boleh mengehadkan masa sesi maksimum.
  • Fail konfigurasi membenarkan nama pengguna dan kata laluan ditentukan menggunakan teg .
  • Keupayaan untuk mengkonfigurasi MTU pelanggan secara dinamik disediakan, berdasarkan data MTU yang dihantar oleh pelayan. Untuk menukar saiz MTU maksimum, pilihan β€œβ€”tun-mtu-max” telah ditambah (lalai ialah 1600).
  • Menambah parameter "--max-packet-size" untuk menentukan saiz maksimum paket kawalan.
  • Mengalih keluar sokongan untuk mod pelancaran OpenVPN melalui inetd. Pilihan ncp-disable telah dialih keluar. Pilihan sahkan cincang dan mod kunci statik telah ditamatkan (hanya TLS telah dikekalkan). Protokol TLS 1.0 dan 1.1 telah ditamatkan (parameter tls-version-min ditetapkan kepada 1.2 secara lalai). Pelaksanaan terbina dalam penjana nombor rawak pseudo (-prng) telah dialih keluar; pelaksanaan PRNG daripada perpustakaan kripto Mbed TLS atau OpenSSL harus digunakan. Sokongan untuk PF (Penapisan Paket) telah dihentikan. Secara lalai, mampatan dinyahdayakan (--allow-compression=no).
  • Menambahkan CHACHA20-POLY1305 pada senarai sifir lalai.

Sumber: opennet.ru

Tambah komen