Po dva a pol roku od zverejnenia pobočky 2.5 je pripravené vydanie OpenVPN 2.6.0, balíka na vytváranie virtuálnych privátnych sietí, ktorý vám umožní zorganizovať šifrované spojenie medzi dvoma klientskymi strojmi alebo poskytnúť centralizovaný VPN server. na súčasnú prevádzku viacerých klientov. Kód OpenVPN je distribuovaný pod licenciou GPLv2, hotové binárne balíčky sú generované pre Debian, Ubuntu, CentOS, RHEL a Windows.
Hlavné inovácie:
- Poskytuje podporu pre neobmedzený počet pripojení.
- Súčasťou je modul jadra ovpn-dco, ktorý vám umožňuje výrazne zrýchliť výkon VPN. Zrýchlenie sa dosiahne presunutím všetkých operácií šifrovania, spracovania paketov a správy komunikačných kanálov na stranu jadra Linuxu, čo eliminuje réžiu spojenú s prepínaním kontextu, umožňuje optimalizovať prácu priamym prístupom k interným rozhraniam API jadra a eliminuje pomalý prenos údajov medzi jadrom. a užívateľský priestor (šifrovanie, dešifrovanie a smerovanie vykonáva modul bez odosielania prevádzky na obsluhu v užívateľskom priestore).
V uskutočnených testoch v porovnaní s konfiguráciou založenou na rozhraní tun umožnilo použitie modulu na strane klienta a servera pomocou šifry AES-256-GCM dosiahnuť 8-násobné zvýšenie priepustnosti (z 370 Mbit/s až 2950 Mbit/s). Pri použití modulu len na strane klienta sa priepustnosť trojnásobne zvýšila pre odchádzajúcu prevádzku a nezmenila sa pre prichádzajúcu. Pri použití modulu iba na strane servera sa priepustnosť zvýšila 4-krát pre prichádzajúcu prevádzku a o 35 % pre odchádzajúcu prevádzku.
- Režim TLS je možné použiť s certifikátmi s vlastným podpisom (pri použití voľby „-peer-fingerprint“ môžete vynechať parametre „-ca“ a „-capath“ a vyhnúť sa prevádzke PKI servera založeného na Easy-RSA resp. podobný softvér).
- Server UDP implementuje režim vyjednávania pripojenia založený na súboroch cookie, ktorý používa súbor cookie založený na HMAC ako identifikátor relácie, čo umožňuje serveru vykonávať bezstavové overenie.
- Pridaná podpora pre budovanie s knižnicou OpenSSL 3.0. Pridaná možnosť „--tls-cert-profile insecure“ na výber minimálnej úrovne zabezpečenia OpenSSL.
- Pridané nové ovládacie príkazy remote-entry-count a remote-entry-get na spočítanie počtu externých pripojení a zobrazenie ich zoznamu.
- Počas procesu kľúčovej dohody je teraz mechanizmus EKM (Exported Keying Material, RFC 5705) preferovanou metódou na získanie materiálu na generovanie kľúčov namiesto mechanizmu PRF špecifického pre OpenVPN. Na používanie EKM je potrebná knižnica OpenSSL alebo mbed TLS 2.18+.
- Je zabezpečená kompatibilita s OpenSSL v režime FIPS, čo umožňuje použitie OpenVPN na systémoch, ktoré spĺňajú bezpečnostné požiadavky FIPS 140-2.
- mlock implementuje kontrolu, aby sa zabezpečilo, že je rezervovaná dostatočná pamäť. Keď je k dispozícii menej ako 100 MB pamäte RAM, zavolá sa setrlimit() na zvýšenie limitu.
- Pridaná možnosť „--peer-fingerprint“ na kontrolu platnosti alebo väzby certifikátu pomocou odtlačku prsta založeného na hash SHA256 bez použitia tls-verify.
- Skripty sú vybavené možnosťou odloženej autentifikácie, implementovanej pomocou voľby „-auth-user-pass-verify“. Do skriptov a pluginov bola pridaná podpora pre informovanie klienta o čakajúcej autentifikácii pri použití odloženej autentifikácie.
- Pridaný režim kompatibility (-compat-mode), ktorý umožňuje pripojenie k starším serverom so systémom OpenVPN 2.3.x alebo staršími verziami.
- V zozname, ktorý prechádza cez parameter „--data-ciphers“, je povolená predpona „?“. na definovanie voliteľných šifier, ktoré sa použijú len vtedy, ak sú podporované v knižnici SSL.
- Pridaná možnosť „-session-timeout“, pomocou ktorej môžete obmedziť maximálny čas relácie.
- Konfiguračný súbor umožňuje zadať meno a heslo pomocou značky .
- Schopnosť dynamicky konfigurovať MTU klienta je poskytovaná na základe údajov MTU prenášaných serverom. Ak chcete zmeniť maximálnu veľkosť MTU, bola pridaná možnosť „—tun-mtu-max“ (predvolená hodnota je 1600).
- Pridaný parameter "--max-packet-size" na definovanie maximálnej veľkosti riadiacich paketov.
- Odstránená podpora pre režim spustenia OpenVPN cez inetd. Možnosť ncp-disable bola odstránená. Možnosť overenia hašovania a režim statického kľúča boli zastarané (zachoval sa iba protokol TLS). Protokoly TLS 1.0 a 1.1 sú zastarané (parameter tls-version-min je predvolene nastavený na 1.2). Zabudovaná implementácia generátora pseudonáhodných čísel (-prng) bola odstránená; mala by sa použiť implementácia PRNG z krypto knižníc mbed TLS alebo OpenSSL. Podpora pre PF (Packet Filtering) bola ukončená. Štandardne je kompresia zakázaná (--allow-compression=no).
- Pridané CHACHA20-POLY1305 do predvoleného zoznamu šifier.
Zdroj: opennet.ru