OpenVPN — это инструмент подключения, основанный на бесплатном программном обеспечении: SSL, виртуальная частная сеть VPN.
Спустя два с половиной года после выхода ветки 2.5, было объявлено о запускеи новая версия ОпенВПН 2.6.0, пакет для создания виртуальных частных сетей, позволяющий организовать шифрованное соединение между двумя клиентскими машинами или предоставить централизованный VPN-сервер для одновременной работы нескольких клиентов.
Тем, кто не знаком с OpenVPN, следует знать, что это бесплатный инструмент для подключения к программному обеспечению, SSL (уровень защищенных сокетов), виртуальная частная сеть VPN.
OpenVPN предлагает двухточечное соединение с иерархической проверкой подключенных пользователей и хостов удаленно. Это очень хороший вариант в технологиях Wi-Fi (беспроводные сети IEEE 802.11) и поддерживает широкую конфигурацию, включая балансировку нагрузки.
Основные новые возможности OpenVPN 2.6.0
В новой версии подчеркивается, что в комплект входит модуль ядра ovpn-dco, что может значительно повысить производительность VPN.
Ускорение достигается за счет переноса всех операций шифрования, обработка пакетов и управление каналами связи рядом с ядром линукса, что позволяет избавиться от накладных расходов, связанных с переключением контекста, дает возможность оптимизировать работу за счет прямого обращения к внутреннему ядру, вдобавок к нему API и исключает медленную передачу данных между ядром и пользовательским пространством (модуль выполняет шифрование , дешифрование и маршрутизация без отправки трафика на контроллер в пользовательском пространстве).
В проведенных тестах, по сравнению с конфигурацией на основе интерфейса tun, использование модуля на стороне клиента и сервера с использованием шифрования AES-256-GCM позволило добиться увеличения производительности в 8 раз (с 370 Мбит/с). с до 2950 Мбит/с). При использовании модуля только на стороне клиента производительность увеличилась в три раза для исходящего трафика и не изменилась для входящего трафика. При использовании модуля только на стороне сервера производительность увеличилась в 4 раза по входящему трафику и на 35% по исходящему.
Еще одно изменение, которое выделяется из новой версии, заключается в том, что предусмотрена возможность использования режима TLS с самоподписанными сертификатами (используя опцию «–peer-fingerprint», вы можете опустить параметры «–ca» и «–capath» и избежать запуска PKI-сервера на базе Easy-RSA или аналогичного программного обеспечения).
В дополнение к этому также отмечается, что сервер UDP реализует режим согласования соединения на основе файлов cookie, который использует файл cookie на основе HMAC в качестве идентификатора сеанса, что позволяет серверу выполнять проверку без сохранения состояния.
С другой стороны, добавлена поддержка компиляции с библиотекой OpenSSL 3.0, а также добавлен параметр «-tls-cert-profile insecure» для выбора минимального уровня безопасности OpenSSL.
Мы также можем обнаружить, что были добавлены новые управляющие команды remote-entry-count и remote-entry-get для подсчета количества внешних подключений и их перечисления.
В процессе согласования ключей механизм EKM (Exported Keying Material, RFC 5705) теперь имеет более высокий приоритет для получения материала для генерации ключей, а не конкретный механизм OpenVPN PRF. Для EKM требуется библиотека OpenSSL или mbed TLS 2.18+.
Поддержка OpenSSL предоставляется в режиме FIPS, что позволяет использовать OpenVPN в системах, отвечающих требованиям безопасности FIPS 140-2.
Из других изменений, которые выделяются в новой версии:
- mlock реализует проверку на достаточное выделение памяти. Если доступно менее 100 МБ ОЗУ, вызывается setrlimit() для увеличения лимита.
- Добавлен параметр «–peer-fingerprint» для проверки или привязки сертификата по отпечатку на основе хэша SHA256 без использования tls-verify.
- Для скриптов предусмотрена ленивая аутентификация, реализуемая опцией «—auth-user-pass-verify». Добавлена поддержка информирования клиента об отложенной аутентификации при использовании отложенной аутентификации в скриптах и плагинах.
- Добавлен режим совместимости (–compat-mode), позволяющий подключаться к старым серверам, на которых работает OpenVPN 2.3.x или более ранней версии.
Наконец, если вам интересно узнать об этом больше, вы можете ознакомиться с подробностями По следующей ссылке.