ProHoster > blog > internetnieuws > OpenVPN 2.6.0 beschikbaar

OpenVPN 2.6.0 beschikbaar

Twee en een half jaar na de publicatie van de 2.5-tak is de release van OpenVPN 2.6.0 voorbereid, een pakket voor het creëren van virtuele privénetwerken waarmee u een gecodeerde verbinding tussen twee clientmachines kunt organiseren of een gecentraliseerde VPN-server kunt bieden voor de gelijktijdige werking van meerdere clients. De OpenVPN-code wordt gedistribueerd onder de GPLv2-licentie, er worden kant-en-klare binaire pakketten gegenereerd voor Debian, Ubuntu, CentOS, RHEL en Windows.

Belangrijkste innovaties:

  • Biedt ondersteuning voor een onbeperkt aantal verbindingen.
  • De ovpn-dco kernelmodule wordt meegeleverd, waarmee u de VPN-prestaties aanzienlijk kunt versnellen. Versnelling wordt bereikt door alle encryptiebewerkingen, pakketverwerking en communicatiekanaalbeheer naar de Linux-kernelkant te verplaatsen, waardoor de overhead die gepaard gaat met contextwisseling wordt geëlimineerd, het mogelijk wordt gemaakt om het werk te optimaliseren door rechtstreeks toegang te krijgen tot de interne kernel-API's en een langzame gegevensoverdracht tussen de kernel te elimineren. en gebruikersruimte (codering, decodering en routering worden uitgevoerd door de module zonder verkeer naar een handler in gebruikersruimte te sturen).

    In de uitgevoerde tests, vergeleken met de configuratie op basis van de tun-interface, maakte het gebruik van de module aan de client- en serverzijde met behulp van de AES-256-GCM-codering het mogelijk om een ​​8-voudige toename van de doorvoer te bereiken (van 370 Mbit/s tot 2950 Mbit/s). Wanneer de module alleen aan de clientzijde werd gebruikt, werd de doorvoer verdrievoudigd voor uitgaand verkeer en veranderde deze niet voor inkomend verkeer. Wanneer de module alleen aan de serverzijde werd gebruikt, nam de doorvoercapaciteit vier keer toe voor inkomend verkeer en met 4% voor uitgaand verkeer.

  • Het is mogelijk om de TLS-modus te gebruiken met zelfondertekende certificaten (als u de optie “-peer-fingerprint” gebruikt, kunt u de parameters “-ca” en “-capath” weglaten en voorkomen dat er een PKI-server draait op basis van Easy-RSA of soortgelijke software).
  • De UDP-server implementeert een op cookies gebaseerde verbindingsonderhandelingsmodus, die een op HMAC gebaseerde cookie gebruikt als sessie-ID, waardoor de server staatloze verificatie kan uitvoeren.
  • Ondersteuning toegevoegd voor het bouwen met de OpenSSL 3.0-bibliotheek. Optie "--tls-cert-profile insecure" toegevoegd om het minimale OpenSSL-beveiligingsniveau te selecteren.
  • Nieuwe besturingsopdrachten remote-entry-count en remote-entry-get toegevoegd om het aantal externe verbindingen te tellen en een lijst ervan weer te geven.
  • Tijdens het sleutelovereenkomstproces is het EKM-mechanisme (Exported Keying Material, RFC 5705) nu de voorkeursmethode voor het verkrijgen van sleutelgeneratiemateriaal, in plaats van het OpenVPN-specifieke PRF-mechanisme. Om EKM te gebruiken is de OpenSSL-bibliotheek of mbed TLS 2.18+ vereist.
  • Er is compatibiliteit met OpenSSL in FIPS-modus geboden, waardoor OpenVPN kan worden gebruikt op systemen die voldoen aan de FIPS 140-2-beveiligingsvereisten.
  • mlock voert een controle uit om ervoor te zorgen dat er voldoende geheugen is gereserveerd. Als er minder dan 100 MB RAM beschikbaar is, wordt setrlimit() aangeroepen om de limiet te verhogen.
  • De optie “--peer-fingerprint” toegevoegd om de geldigheid of binding van een certificaat te controleren met behulp van een vingerafdruk op basis van de SHA256-hash, zonder gebruik te maken van tls-verify.
  • Scripts zijn voorzien van de mogelijkheid van uitgestelde authenticatie, geïmplementeerd met behulp van de “-auth-user-pass-verify” optie. Ondersteuning voor het informeren van de klant over lopende authenticatie bij gebruik van uitgestelde authenticatie is toegevoegd aan scripts en plug-ins.
  • Compatibiliteitsmodus (-compat-mode) toegevoegd om verbindingen met oudere servers met OpenVPN 2.3.x of oudere versies mogelijk te maken.
  • In de lijst die via de parameter “--data-ciphers” wordt doorgegeven, is het voorvoegsel “?” toegestaan. om optionele cijfers te definiëren die alleen worden gebruikt als ze worden ondersteund in de SSL-bibliotheek.
  • Optie “-session-timeout” toegevoegd waarmee je de maximale sessietijd kunt beperken.
  • Met het configuratiebestand kunt u een naam en wachtwoord opgeven met behulp van de tag .
  • Er wordt de mogelijkheid geboden om de MTU van de client dynamisch te configureren, op basis van de MTU-gegevens die door de server worden verzonden. Om de maximale MTU-grootte te wijzigen is de optie “—tun-mtu-max” toegevoegd (standaard is 1600).
  • Parameter "--max-packet-size" toegevoegd om de maximale grootte van controlepakketten te definiëren.
  • Ondersteuning voor OpenVPN-opstartmodus via inetd verwijderd. De ncp-disable-optie is verwijderd. De verificatie-hash-optie en de statische sleutelmodus zijn verouderd (alleen TLS is behouden). De protocollen TLS 1.0 en 1.1 zijn verouderd (de parameter tls-version-min is standaard ingesteld op 1.2). De ingebouwde pseudo-random number generator-implementatie (-prng) is verwijderd; de PRNG-implementatie van de mbed TLS- of OpenSSL-cryptobibliotheken moet worden gebruikt. Ondersteuning voor PF (Packet Filtering) is stopgezet. Standaard is compressie uitgeschakeld (--allow-compression=no).
  • CHACHA20-POLY1305 toegevoegd aan de standaardcoderingslijst.

Bron: opennet.ru

Voeg een reactie