LINUX.ORG.RU
НовостиБезопасность

Вышел OpenVPN 2.3

 , ,


1

1

После более года разработки вышел OpenVPN версии 2.3.

Список изменений с версии 2.2:

  • Полная поддержка IPv6.
  • SSL теперь модульный, что позволяет использовать не только OpenSSL, но и другие библиотеки.
  • Возможность использовать PolarSSL вместо OpenSSL.
  • Новый API для прямого доступа к сертификатам, улучшен API логгирования и переработан для более простой поддержки в будущем.
  • Добавлена переменная окружения 'dev_type', которая принимает значения 'TUN' или 'TAP' и может быть использована скриптами или плагинами.
  • Добавлена опция --management-external-key для загрузки RSA через интерфейс управления.
  • Добавлена опция --management-up-down — уведомления о поднятии/падении туннеля в интерфейсе управления.
  • Добавлена опция --x509-track option для более полного доступа к полям X.509 из скриптов и плагинов через новый API для плагинов (v3).
  • Добавлена опция --client-nat support — NAT один-к-одному для предотвращения конфликта IP-адресов между сетями.
  • Добавлена опция --mark, которая может маркировать зашифрованные пакеты, ходящие через туннель, для более простой настройки маршрутизации и файрволла.
  • Добавлена опция --management-query-proxy — настройка прокси через интерфейс управления.
  • Добавлена опция --stale-routes-check, которая периодически чистит внутреннюю таблицу маршрутизации.
  • Добавлена опция --x509-username-field, с помощью которой вы можете использовать отличные от Common Name поля X.509v3 для идентификации пользователя.
  • Добавлена опция --memstats — запись статов пользователя в memory-mapped binary файлы.
  • Добавлена команда auth-token в интерфейсе управления на стороне клиента, которая позволяет не хранить логин и пароль в памяти в случае авторизации по логину/паролю, а вместо них использовать временной токен.
  • Добавлена команда remote в интерфейсе управления на стороне клиента, которая может переопределять опцию --remote в конфиге.
  • Улучшена команда client-kill в интерфейсе управления.
  • Улучшена поддержка UTF-8 и добавлена опция --compat-names для возвращения старого поведения, если скрипты или плагины ломаются от этого.
  • Улучшена аутентификация через PAM.
  • В блоке <connection> теперь можно использовать больше опций, чем раньше.
  • Новая система сборки, улучшена кросс-компиляция и сборка под Windows.
  • Добавление новых комментариев к коду.
  • Обновление документации.
  • Большое количество багфиксов.

>>> Подробности

★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 4)
Анонсирована новая версия Lego Mindstorm с прошивкой на базе ядра Linux
Новая версия системы мониторинга NetXMS 1.2.5

Это просто нет слов, как хорошо.

Спасибо!

tazhate ★★★★★
()

Полная поддержка IPv6.

Оно в винде уже нормально работает или как всегда надо ставить неофициальные сборки?

Reset ★★★★★
()

Внушительный список, отлично!

UNiTE ★★★★★
()
Ответ на: комментарий от ValdikSS

Точно? Когда последний раз смотрел официальную сборку оно для инициализации маршрутов пыталось вызывать команды по несуществующим путям, в результате ничего не работало.

Reset ★★★★★
()
Последнее исправление: Reset (всего исправлений: 1)
Ответ на: комментарий от Reset

Точно. Только, к сожалению, нужно убедиться, что он запущен от администратора, иначе просто не подключится, будет ошибки всякие сыпать. Т.е. надо вручную нажать на ярлыке правой кнопкой → запуск от администратора.

И иногда, не знаю почему, ругается на русское название TAP-интерфейса. Т.е. у некоторых, у которых он назван стандартно «Подключение по локальной сети 2(3, 4...)» все работает, а некоторым требуется его обозвать без русских букв и пробелов, например, «openvpn».

ValdikSS ★★★★★
()

По моим тестам vtun имеет латентность ниже чем OpenVPN. Жаль что vtun не мультиплатформенный.

iron ★★★★★
()

Полная поддержка IPv6.

Впечатляет!

renya ★★★★★
()
Ответ на: комментарий от ValdikSS

Т.е. надо вручную нажать на ярлыке правой кнопкой → запуск от администратора

неосилившие runas

daemonpnz ★★★★★
()

SSL теперь модульный, что позволяет использовать не только OpenSSL, но и другие библиотеки.
Возможность использовать PolarSSL вместо OpenSSL.

Повтор, нэ?

tiandrey ★★★★★
()

Добавлена команда auth-token в интерфейсе управления на стороне клиента, которая позволяет не хранить логин и пароль в памяти в случае авторизации по логину/паролю, а вместо них использовать временной токен.

Надеюсь при реконнекте он перестанет запрашивать пароль.

Добавлена опция --client-nat support — NAT один-к-одному для предотвращения конфликта IP-адресов между сетями.

Отлично.

Добавление новых комментариев к коду.

Киллер-фича

wlan ★★
()

Годно.
Попробую скоро ипв6.

Deleted
()

SSL теперь модульный, что позволяет использовать не только OpenSSL, но и другие библиотеки.

Когда уже будет доступна для него CyaSSL, чтобы HC-128 или rabbit, а не тормозный AES, юзать?

ktulhu666 ☆☆☆
()
Последнее исправление: ktulhu666 (всего исправлений: 1)

Они уже переставил в официальной сборке хардкодить пути до route.exe ?

anonymous
()
Ответ на: комментарий от tazhate

Ржач в зале.

Сравни производительность с RABBIT, HC-128, HC-256. AES реально тормозный, однако, эти шифры имеют смысл только для потока, данные на харде (если они не запись потока, конечно) нельзя шифровать (особенности криптофункции сильно упрощают взлом).

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Я тебе скажу по секрету, в таких штуках как openvpn влияние «тормознутости» AES - ничтожно

vasily_pupkin ★★★★★
()

Супер. Спасибо за новость.

observer ★★★
()

Хороший релиз. А никто не делал тестов использования cpu различными алгоритмами шифрования?

mrdeath ★★★★★
()

В загрузках OpenVPN только для Винды, Мака и Дуройда. Линукса нет. Зачем тогда было нужно публиковать эту новость?

anonymous
()

После более года разработки вышел

«Спустя более чем год разработки», либо «после года разработки», но уж никак не «после более года». Неужели никому до сих пор глаза не резануло?

anonymous
()
Ответ на: комментарий от anonymous

Будни людей со Столлманом на аватарках.

И это еще был праздничный ужин.

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от true_admin

Ну так интелы в микровол^W роутеры не ставят. В результате 10mbps за счастье при 100% загрузке проца.

NightSpamer
()
Ответ на: комментарий от true_admin

aes аппаратно в интелях поддерживается, доки обещают каждый байт чуть ли не за пять тактов кодировать.

Утверждение про «байты» выглядит немного смешно если учесть, что AES это блочный шифр, а в «потоковом» режиме на каждый шифруемый поток должен иметься свой чуть не килобайтный контекст - хотя да, тогда «шифрование байта» сведется к XOR'у байта с гаммой - а чо, в 5 тактов уложится!

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

хотя да, тогда «шифрование байта» сведется к XOR'у байта с гаммой - а чо, в 5 тактов уложится!

Реализация с aes-ni быстрее в разы того что есть в openssl. Наверно там не только xor делается.

true_admin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Анонсирована новая версия Lego Mindstorm с прошивкой на базе ядра Linux
Безопасность
Новая версия системы мониторинга NetXMS 1.2.5