ProHoster > Blog > ахбори интернет > OpenVPN 2.6.0 дастрас аст

OpenVPN 2.6.0 дастрас аст

Пас аз дувуним сол аз нашри филиали 2.5, нашри OpenVPN 2.6.0 омода карда шуд, бастаи эҷоди шабакаҳои хусусии виртуалӣ, ки ба шумо имкон медиҳад пайвасти рамзгузоришударо байни ду мошини муштарӣ ташкил кунед ё сервери мутамаркази VPN-ро таъмин кунед. барои амалиёти ҳамзамон якчанд муштарӣ. Рамзи OpenVPN аз рӯи иҷозатномаи GPLv2 паҳн карда мешавад, бастаҳои дуии омода барои Debian, Ubuntu, CentOS, RHEL ва Windows тавлид мешаванд.

Навовариҳои асосӣ:

  • Дастгирии шумораи номаҳдуди пайвастҳоро таъмин мекунад.
  • Модули ядрои ovpn-dco дохил карда шудааст, ки ба шумо имкон медиҳад, ки иҷрои VPN-ро ба таври назаррас суръат бахшед. Шитоб тавассути интиқол додани тамоми амалиёти рамзгузорӣ, коркарди бастаҳо ва идоракунии каналҳои иртиботӣ ба тарафи ядрои Linux ба даст оварда мешавад, ки хароҷоти изофӣ бо гузариши контекстро бартараф мекунад, имкон медиҳад, ки кор тавассути дастрасии мустақим ба API-ҳои ядрои дохилӣ оптимизатсия карда шавад ва интиқоли сусти маълумот байни ядро ​​​​аз байн равад. ва фазои корбар (рамзгузорӣ, рамзкушоӣ ва масир аз ҷониби модул бидуни ирсоли трафик ба коркардкунанда дар фазои корбар анҷом дода мешавад).

    Дар озмоишҳои гузаронидашуда, дар муқоиса бо конфигуратсияи бар интерфейси tun, истифодаи модул дар паҳлӯҳои муштарӣ ва сервер бо истифода аз рамзгузории AES-256-GCM имкон дод, ки ҳаҷми интиқол 8 маротиба афзоиш ёбад (аз 370). Мбит/с то 2950 Мбит/с). Ҳангоми истифодаи модул танҳо дар тарафи муштарӣ, интиқол барои трафики содиротӣ се маротиба зиёд шуд ва барои трафики даромад тағйир наёфт. Ҳангоми истифодаи модул танҳо дар тарафи сервер, интиқол барои трафики даромад 4 маротиба ва барои трафики содиротӣ 35% зиёд шуд.

  • Реҷаи TLS-ро бо сертификатҳои худ имзошуда истифода бурдан мумкин аст (ҳангоми истифодаи опсияи "-peer-fingerprint", шумо метавонед параметрҳои "-ca" ва "-capath" -ро сарфи назар кунед ва аз кор кардани сервери PKI дар асоси Easy-RSA ё худдорӣ кунед. нармафзори шабеҳ).
  • Сервери UDP режими гуфтушуниди пайвастшавиро дар асоси куки амалӣ мекунад, ки он куки дар асоси HMAC-ро ҳамчун идентификатори сессия истифода мебарад ва ба сервер имкон медиҳад, ки тафтиши бидуни шаҳрвандӣ анҷом диҳад.
  • Дастгирии иловагӣ барои сохтмон бо китобхонаи OpenSSL 3.0. Иловаи "--tls-cert-profile insecure" барои интихоби ҳадди ақали сатҳи амнияти OpenSSL.
  • Фармонҳои нави идоракунӣ барои ҳисоб кардани шумораи пайвастҳои беруна ва намоиш додани рӯйхати онҳо аз дур-даромад ва дурдаст-даромад илова карда шуданд.
  • Дар ҷараёни созишномаи калидӣ, механизми EKM (Exported Anahtaring Material, RFC 5705) ҳоло усули афзалиятнок барои ба даст овардани маводи тавлиди калид ба ҷои механизми махсуси PRF-и OpenVPN мебошад. Барои истифодаи EKM, китобхонаи OpenSSL ё mbed TLS 2.18+ лозим аст.
  • Мутобиқат бо OpenSSL дар реҷаи FIPS таъмин карда мешавад, ки имкон медиҳад, ки OpenVPN дар системаҳое, ки ба талаботи амнияти FIPS 140-2 ҷавобгӯ бошанд, истифода шавад.
  • mlock чекро амалӣ мекунад, то боварӣ ҳосил кунад, ки хотираи кофӣ захира карда шудааст. Вақте ки камтар аз 100 МБ хотираи оперативӣ мавҷуд аст, setrlimit () барои зиёд кардани маҳдудият даъват карда мешавад.
  • Опсияи "--peer-fingerprint" барои тафтиши дурустӣ ё ҳатмии сертификат бо истифода аз изи ангушт дар асоси hash SHA256, бе истифодаи tls-verify илова карда шуд.
  • Скриптҳо бо имконоти аутентификатсияи таъхиршуда таъмин карда мешаванд, ки бо истифода аз имконоти "-auth-user-pass-verify" амалӣ карда мешаванд. Дастгирии огоҳонидани муштарӣ дар бораи аутентификатсияи интизоршуда ҳангоми истифодаи аутентификатсияи таъхиршуда ба скриптҳо ва плагинҳо илова карда шудааст.
  • Ҳолати мувофиқат (-compat-mode) илова карда шуд, то пайвастшавӣ ба серверҳои кӯҳна, ки версияҳои OpenVPN 2.3.x ё версияҳои кӯҳна доранд, иҷозат диҳад.
  • Дар рӯйхате, ки тавассути параметри "--data-ciphers" гузаштааст, префикси "?" иҷозат дода мешавад. барои муайян кардани рамзҳои ихтиёрӣ, ки танҳо дар сурати дастгирӣ дар китобхонаи SSL истифода мешаванд.
  • Опсияи "-session-timeout" илова карда шудааст, ки бо он шумо метавонед вақти максималии сессияро маҳдуд кунед.
  • Файли конфигуратсия имкон медиҳад, ки бо истифода аз тег ном ва паролро муайян кунед .
  • Қобилияти динамикӣ танзим кардани MTU-и муштарӣ дар асоси маълумоти MTU аз сервер интиқол дода мешавад. Барои тағир додани андозаи максималии MTU, опсияи "—tun-mtu-max" илова карда шудааст (пешфарз 1600 аст).
  • Барои муайян кардани андозаи максималии бастаҳои назоратӣ параметри "--max-packet-size" илова карда шуд.
  • Дастгирии режими кушодани OpenVPN тавассути inetd хориҷ карда шуд. Варианти ncp-disable хориҷ карда шуд. Опсияи санҷиши ҳаш ва ҳолати калиди статикӣ бекор карда шудааст (танҳо TLS нигоҳ дошта шудааст). Протоколҳои TLS 1.0 ва 1.1 бекор карда шудаанд (параметри tls-version-min бо нобаёнӣ ба 1.2 муқаррар карда шудааст). Амалисозии дарунсохташудаи генератори рақамҳои псевдо-тасодуфӣ (-prng) хориҷ карда шуд; татбиқи PRNG аз китобхонаҳои криптографии mbed TLS ё OpenSSL бояд истифода шавад. Дастгирии PF (филтри бастаҳо) қатъ карда шуд. Бо нобаёнӣ, фишурдан ғайрифаъол аст (--allow-compression=no).
  • Ба рӯйхати рамзҳои пешфарз CHACHA20-POLY1305 илова карда шуд.

Манбаъ: opennet.ru

Илова Эзоҳ