ProHoster > Blog > internet yangiliklari > OpenVPN 2.6.0 mavjud

OpenVPN 2.6.0 mavjud

2.5 filiali nashr etilganidan ikki yarim yil o'tgach, ikkita mijoz mashinasi o'rtasida shifrlangan ulanishni tashkil qilish yoki markazlashtirilgan VPN serverini taqdim etish imkonini beruvchi virtual xususiy tarmoqlarni yaratish uchun OpenVPN 2.6.0 versiyasi tayyorlandi. bir vaqtning o'zida bir nechta mijozlarning ishlashi uchun. OpenVPN kodi GPLv2 litsenziyasi ostida tarqatiladi, Debian, Ubuntu, CentOS, RHEL va Windows uchun tayyor ikkilik paketlar yaratiladi.

Asosiy innovatsiyalar:

  • Cheksiz miqdordagi ulanishlarni qo'llab-quvvatlaydi.
  • Ovpn-dco yadro moduli kiritilgan bo'lib, bu sizga VPN ishlashini sezilarli darajada tezlashtirish imkonini beradi. Tezlashtirish barcha shifrlash operatsiyalarini, paketlarni qayta ishlash va aloqa kanallarini boshqarishni Linux yadrosi tomoniga o'tkazish orqali erishiladi, bu kontekstni almashtirish bilan bog'liq ortiqcha xarajatlarni bartaraf qiladi, ichki yadro API-lariga to'g'ridan-to'g'ri kirish orqali ishni optimallashtirish imkonini beradi va yadro o'rtasida sekin ma'lumotlar uzatishni yo'q qiladi. va foydalanuvchi maydoni (shifrlash, parolni hal qilish va marshrutlash modul tomonidan foydalanuvchi maydonidagi ishlov beruvchiga trafik jo'natmasdan amalga oshiriladi).

    O'tkazilgan testlarda, tun interfeysiga asoslangan konfiguratsiya bilan solishtirganda, AES-256-GCM shifridan foydalangan holda mijoz va server tomonlarida moduldan foydalanish o'tkazish qobiliyatini 8 baravar oshirishga imkon berdi (370 dan). Mbit/s dan 2950 Mbit/s gacha). Moduldan faqat mijoz tomonida foydalanilganda, o'tkazish qobiliyati chiquvchi trafik uchun uch baravar oshdi va kiruvchi trafik uchun o'zgarmadi. Moduldan faqat server tomonida foydalanilganda, kirish trafik uchun o'tkazuvchanlik 4 marta va chiquvchi trafik uchun 35% ga oshdi.

  • O'z-o'zidan imzolangan sertifikatlar bilan TLS rejimidan foydalanish mumkin ("-peer-barmoq izi" opsiyasidan foydalanganda siz "-ca" va "-capath" parametrlarini o'tkazib yuborishingiz va Easy-RSA yoki PKI serverini ishga tushirishdan qochishingiz mumkin. shunga o'xshash dasturiy ta'minot).
  • UDP serveri HMAC-ga asoslangan Cookie faylidan sessiya identifikatori sifatida foydalanadigan Cookie-ga asoslangan ulanish muzokara rejimini amalga oshiradi, bu esa serverga fuqaroligi bo'lmagan tekshirishni amalga oshirish imkonini beradi.
  • OpenSSL 3.0 kutubxonasi bilan qurish uchun qo'shimcha yordam. Minimal OpenSSL xavfsizlik darajasini tanlash uchun "--tls-cert-profile insecure" opsiyasi qo'shildi.
  • Tashqi ulanishlar sonini hisoblash va ularning ro'yxatini ko'rsatish uchun masofadan kirishni hisoblash va masofadan kirishni olish uchun yangi boshqaruv buyruqlari qo'shildi.
  • Asosiy kelishuv jarayonida EKM (Eksport qilingan kalitlash materiali, RFC 5705) mexanizmi endi OpenVPN-ga xos PRF mexanizmi o'rniga kalit ishlab chiqarish materialini olishning afzal usuli hisoblanadi. EKM dan foydalanish uchun OpenSSL kutubxonasi yoki mbed TLS 2.18+ talab qilinadi.
  • FIPS rejimida OpenSSL bilan moslik taqdim etiladi, bu esa FIPS 140-2 xavfsizlik talablariga javob beradigan tizimlarda OpenVPN-dan foydalanish imkonini beradi.
  • mlock etarli xotira zaxiralanganligini tekshirishni amalga oshiradi. 100 MB dan kam RAM mavjud bo'lganda, limitni oshirish uchun setrlimit() chaqiriladi.
  • tls-verify ishlatmasdan SHA256 xesh asosidagi barmoq izi yordamida sertifikatning haqiqiyligini yoki majburiyligini tekshirish uchun “--peer-fingerprint” opsiyasi qo‘shildi.
  • Skriptlar "-auth-user-pass-verify" opsiyasi yordamida amalga oshiriladigan kechiktirilgan autentifikatsiya opsiyasi bilan ta'minlangan. Skriptlar va plaginlarga kechiktirilgan autentifikatsiyadan foydalanishda mijozni kutilayotgan autentifikatsiya haqida xabardor qilish uchun yordam qo'shildi.
  • OpenVPN 2.3.x yoki eski versiyalari bilan ishlaydigan eski serverlarga ulanishga ruxsat berish uchun moslik rejimi (-compat-mode) qo'shildi.
  • "--data-ciphers" parametri orqali o'tgan ro'yxatda "?" prefiksiga ruxsat beriladi. SSL kutubxonasida qo'llab-quvvatlansagina foydalaniladigan ixtiyoriy shifrlarni aniqlash uchun.
  • Maksimal seans vaqtini cheklashingiz mumkin bo'lgan "-session-timeout" opsiyasi qo'shildi.
  • Konfiguratsiya fayli teg yordamida ism va parolni belgilash imkonini beradi .
  • Mijozning MTU-ni dinamik ravishda sozlash imkoniyati server tomonidan uzatiladigan MTU ma'lumotlari asosida taqdim etiladi. Maksimal MTU hajmini o'zgartirish uchun “—tun-mtu-max” opsiyasi qo'shilgan (standart 1600).
  • Boshqaruv paketlarining maksimal hajmini aniqlash uchun "--max-packet-size" parametri qo'shildi.
  • Inetd orqali OpenVPN ishga tushirish rejimini qo'llab-quvvatlash olib tashlandi. ncp-disable opsiyasi olib tashlandi. Verify-hesh opsiyasi va statik kalit rejimi eskirgan (faqat TLS saqlanib qolgan). TLS 1.0 va 1.1 protokollari eskirgan (tls-version-min parametri sukut boʻyicha 1.2 ga oʻrnatilgan). O'rnatilgan psevdo-tasodifiy raqamlar generatori ilovasi (-prng) olib tashlandi; mbed TLS yoki OpenSSL kripto kutubxonalaridan PRNG ilovasidan foydalanish kerak. PF (Packet Filtering) ni qo'llab-quvvatlash to'xtatildi. Odatiy bo'lib, siqish o'chirilgan (--allow-compression=no).
  • Standart shifrlar roʻyxatiga CHACHA20-POLY1305 qoʻshildi.

Manba: opennet.ru

a Izoh qo'shish