פּראָהאָסטער > בלאָג > אינטערנעט נייַעס > OpenVPN 2.6.0 בנימצא

OpenVPN 2.6.0 בנימצא

נאָך צוויי און אַ האַלב יאָר זינט די ויסגאַבע פון ​​די 2.5 צווייַג, די מעלדונג פון OpenVPN 2.6.0 איז צוגעגרייט, אַ פּעקל פֿאַר קריייטינג ווירטואַל פּריוואַט נעטוואָרקס וואָס אַלאַוז איר צו אָרגאַניזירן אַ ינקריפּטיד פֿאַרבינדונג צווישן צוויי קליענט מאשינען אָדער צושטעלן אַ סענטראַלייזד וופּן סערווער פֿאַר די סיימאַלטייניאַס אָפּעראַציע פון ​​עטלעכע קלייאַנץ. די OpenVPN קאָד איז פונאנדערגעטיילט אונטער די GPLv2 דערלויבעניש, פאַרטיק ביינערי פּאַקאַדזשאַז זענען דזשענערייטאַד פֿאַר Debian, Ubuntu, CentOS, RHEL און Windows.

הויפּט חידושים:

  • גיט שטיצן פֿאַר אַ אַנלימאַטאַד נומער פון קאַנעקשאַנז.
  • די ovpn-dco קערן מאָדולע איז אַרייַנגערעכנט, וואָס אַלאַוז איר צו באטייטיק פאַרגיכערן VPN פאָרשטעלונג. אַקסעלעריישאַן איז אַטשיווד דורך מאָווינג אַלע ענקריפּשאַן אַפּעריישאַנז, פּאַקאַט פּראַסעסינג און קאָמוניקאַציע קאַנאַל פאַרוואַלטונג צו די לינוקס קערן זייַט, וואָס ילימאַנייץ די אָוווערכעד פֿאַרבונדן מיט קאָנטעקסט סוויטשינג, מאכט עס מעגלעך צו אַפּטאַמייז אַרבעט דורך גלייך אַקסעס די ינערלעך קערן אַפּיס און ילימאַנייץ פּאַמעלעך דאַטן אַריבערפירן צווישן קערן. און באַניצער פּלאַץ (ענקריפּשאַן, דעקריפּטיאָן און רוטינג זענען דורכגעקאָכט דורך די מאָדולע אָן שיקט פאַרקער צו אַ האַנדלער אין באַניצער פּלאַץ).

    אין די דורכגעקאָכט טעסץ, קאַמפּערד מיט די קאַנפיגיעריישאַן באזירט אויף די טון צובינד, די נוצן פון די מאָדולע אויף די קליענט און סערווער זייטן מיט די AES-256-GCM סייפער געמאכט עס מעגלעך צו דערגרייכן אַ 8-פאַרלייגן פאַרגרעסערן אין טרופּוט (פֿון 370 מביט / s צו 2950 מביט / s). ווען איר נוצן די מאָדולע בלויז אויף די קליענט זייַט, די טרופּוט געוואקסן דרייפאָולד פֿאַר אַוטגאָוינג פאַרקער און האט נישט טוישן פֿאַר ינקאַמינג פאַרקער. ווען איר נוצן די מאָדולע בלויז אויף די סערווער זייַט, די טרופּוט געוואקסן מיט 4 מאל פֿאַר ינקאַמינג פאַרקער און מיט 35% פֿאַר אַוטגאָוינג פאַרקער.

  • עס איז מעגלעך צו נוצן TLS מאָדע מיט זיך-געחתמעט סערטיפיקאַץ (ווען איר נוצן די "-ייַנקוקנ-פינגערפּרינט" אָפּציע, איר קענען פאַרלאָזן די "-ca" און "-capath" פּאַראַמעטערס און ויסמיידן פליסנדיק אַ PKI סערווער באזירט אויף Easy-RSA אָדער ענלעך ווייכווארג).
  • די ודפּ סערווער ימפּלאַמאַנץ אַ קיכל-באזירט פֿאַרבינדונג מאָדע, וואָס ניצט אַ HMAC-באזירט קיכל ווי די סעסיע ידענטיפיער, אַלאַוינג די סערווער צו דורכפירן סטייטלאַס וועראַפאַקיישאַן.
  • צוגעלייגט שטיצן פֿאַר בנין מיט די OpenSSL 3.0 ביבליאָטעק. צוגעגעבן "--tls-cert-profile insecure" אָפּציע צו אויסקלייַבן די מינימום אָפּענססל זיכערהייט מדרגה.
  • צוגעלייגט נייַ קאָנטראָל קאַמאַנדז ווייַט-פּאָזיציע-ציילן און ווייַט-פּאָזיציע-באַקומען צו ציילן די נומער פון פונדרויסנדיק קאַנעקשאַנז און ווייַזן אַ רשימה פון זיי.
  • בעשאַס די שליסל העסקעם פּראָצעס, די EKM (עקספּאָרטעד קייינג מאַטעריאַל, RFC 5705) מעקאַניזאַם איז איצט די בילכער אופֿן פֿאַר באקומען שליסל דור מאַטעריאַל, אַנשטאָט פון די OpenVPN-ספּעציפיש PRF מעקאַניזאַם. צו נוצן EKM, די OpenSSL ביבליאָטעק אָדער Mbed TLS 2.18+ איז פארלאנגט.
  • קאַמפּאַטאַבילאַטי מיט OpenSSL אין FIPS מאָדע איז צוגעשטעלט, וואָס אַלאַוז די נוצן פון OpenVPN אויף סיסטעמען וואָס טרעפן FIPS 140-2 זיכערהייט רעקווירעמענץ.
  • mlock ימפּלאַמאַנץ אַ טשעק צו ענשור אַז גענוג זכּרון איז רעזערווירט. ווען ווייניקער ווי 100 מב פון באַראַן איז בנימצא, setrlimit () איז גערופֿן צו פאַרגרעסערן די שיעור.
  • צוגעלייגט די "--פּעער-פינגערפּרינט" אָפּציע צו קאָנטראָלירן די גילטיקייַט אָדער ביינדינג פון אַ באַווייַזן ניצן אַ פינגערפּרינט באזירט אויף די SHA256 האַש, אָן ניצן tls-verify.
  • סקריפּס זענען צוגעשטעלט מיט די אָפּציע פון ​​​​דיפערד אָטענטאַקיישאַן, ימפּלאַמענאַד מיט די "-auth-user-pass-verify" אָפּציע. שטיצן פֿאַר ינפאָרמינג דעם קליענט וועגן פּענדינג אָטענטאַקיישאַן ווען ניצן דיפערד אָטענטאַקיישאַן איז צוגעגעבן צו סקריפּס און פּלוגינס.
  • צוגעלייגט קאַמפּאַטאַבילאַטי מאָדע (-קאָמפּאַט-מאָדע) צו לאָזן קאַנעקשאַנז צו עלטערע סערווערס מיט OpenVPN 2.3.x אָדער עלטערע ווערסיעס.
  • אין דער רשימה דורכגעגאנגען דורך די "--data-סיפערס" פּאַראַמעטער, די פּרעפיקס "?" איז ערלויבט. צו דעפינירן אַפּשאַנאַל סיפערס וואָס וועט זיין געוויינט בלויז אויב געשטיצט אין די SSL ביבליאָטעק.
  • צוגעגעבן אָפּציע "-סעסיע-טיימאַוט" מיט וואָס איר קענען באַגרענעצן די מאַקסימום סעסיע צייט.
  • די קאַנפיגיעריישאַן טעקע אַלאַוז ספּעציפיצירן אַ נאָמען און פּאַראָל ניצן די קוויטל .
  • די פיייקייט צו דינאַמיקאַללי קאַנפיגיער די MTU פון דעם קליענט איז צוגעשטעלט, באזירט אויף די MTU דאַטן טראַנסמיטטעד דורך די סערווער. צו טוישן די מאַקסימום MTU גרייס, די אָפּציע "-tun-mtu-max" איז צוגעגעבן (פעליקייַט איז 1600).
  • צוגעגעבן "--max-packet-size" פּאַראַמעטער צו דעפינירן די מאַקסימום גרייס פון קאָנטראָל פּאַקיץ.
  • אַוועקגענומען שטיצן פֿאַר OpenVPN קאַטער מאָדע דורך ינעטד. די ncp-disable אָפּציע איז אַוועקגענומען. די וועריפי-האַש אָפּציע און סטאַטיק שליסל מאָדע זענען דיפּרישיייטיד (בלויז TLS איז ריטיינד). די TLS 1.0 און 1.1 פּראָטאָקאָלס זענען דיפּרישיייטיד (דער tls-version-min פּאַראַמעטער איז באַשטימט צו 1.2 דורך פעליקייַט). די ימפּלאַמענטיישאַן פון די געבויט-אין פּסעוודאָ-ראַנדאָם נומער גענעראַטאָר (-prng) איז אַוועקגענומען; די PRNG ימפּלאַמענטיישאַן פון די Mbed TLS אָדער OpenSSL קריפּטאָ לייברעריז זאָל זיין געוויינט. שטיצן פֿאַר פּף (פּאַקקעט פֿילטרירונג) איז אָפּגעשטעלט. דורך פעליקייַט, קאַמפּרעשאַן איז פאַרקריפּלט (-אַלlow-compression=no).
  • צוגעגעבן CHACHA20-POLY1305 צו די פעליקייַט סיפער רשימה.

מקור: opennet.ru

לייגן אַ באַמערקונג