The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.01.2013 12:03  Увидел свет OpenVPN 2.3.0

После почти двух лет разработки вышел релиз OpenVPN 2.3.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется в рамках лицензии GPLv2, готовые бинарные пакеты подготовлены для Debian, Ubuntu, CentOS, RHEL и Windows.

Из добавленных в новой версии улучшений можно отметить:

  • Полноценная поддержка IPv6, как поддержка соединения по IPv6 между клиентом и сервером, так и проброс IPv6 трафика по туннелю;
  • Перевод поддержки SSL на модульную основу, что позволяет обеспечить возможность использования в OpenVPN различных реализаций библиотек SSL. В настоящее время, кроме OpenSSL добавлена поддержка пакета PolarSSL;
  • Новый API для предоставления плагинам прямого доступа к сертификатам. Расширение API для ведения логов;
  • Полностью новая система сборки, упрощающая выполнение кросс-компиляции и формирования сборок для платформы Windows;
  • Добавлена опция "--client-nat" для включения автоматической трансляции адресов для того, чтобы избежать конфликта IP-адресов локальной и удалённой сети;
  • Добавлена установка новой переменной окружения 'dev_type', позволяющей передать в скрипт или плагин тип интерфейса 'TUN' или 'TAP';
  • Добавлена опция "--management-external-key" для предоставления доступа к ключам шифрования через управляющий интерфейс;
  • Добавлена опция "--x509-track" для предоставления доступа к отдельным полям X.509 в скриптах и плагинах;
  • Добавлена опция "--mark" для пометки шифрованных пакетов, используемых для обеспечения работы туннеля. Впоследствии, установленные маркеры могут использоваться для применения дополнительных условий в подсистеме маршрутизации и пакетном фильтре;
  • Добавлена опция "--management-query-proxy" для управления настройками прокси через управляющий интерфейс;
  • Добавлена опция "--stale-routes-check" для чистки внутренней таблицы маршрутизации (удаляются давно не используемые маршруты);
  • Добавлена опция "--x509-username-field" для использования дополнительных полей X.509v3 в качестве имени пользователя для аутентификации, вместо типового поля "Common Name";
  • В управляющем интерфейсе улучшена работа команды client-kill;
  • Улучшена поддержка UTF-8, в том числе обеспечена возможность использования UTF-8 в полях сертификатов. Для обеспечения обратной совместимости с поведением прошлых версий добавлена опция "--compat-names";
  • Добавлена передача в auth-pam переменной COMMONNAME для использования в PAM имени на которое выписан сертификат;
  • Расширено число опций, допустимых для использования в блоках connection.


  1. Главная ссылка к новости (http://sourceforge.net/mailarc...)
  2. OpenNews: Перевод руководства по OpenVPN
  3. OpenNews: Релиз OpenVPN 2.2.0
  4. OpenNews: Вышел OpenVPN 2.1
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openvpn, vpn, tunnel, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 12:45, 13/01/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    кто-нибудь пробовал с радиус плагином?
     
     
  • 2.2, asp (??), 13:40, 13/01/2013 [^] [ответить]    [к модератору]
  • +1 +/
    Да работает отлично
     
  • 2.5, Аноним (-), 16:54, 13/01/2013 [^] [ответить]    [к модератору]
  • +/
    Работает. Хотя у некоторых вызывает нарекания. Мой опыт не слишком большой, я вроде как до "нареканий" не дошел.
     
  • 1.6, Аноним (-), 20:56, 13/01/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    А шифрование по ГОСТ там можно реализовать?
     
     
  • 2.7, Andrey Mitrofanov (?), 21:03, 13/01/2013 [^] [ответить]    [к модератору]
  • +/
    > А шифрование по ГОСТ там можно реализовать?

    А _зачем_? Сертификата у них никогда не будет. То есть - даже если и можно.

     
     
  • 3.23, Michael Shigorin (ok), 02:15, 14/01/2013 [^] [ответить]     [к модератору]  
  • +/
    http www cryptocom ru products openvpn html Возможно, http www ivk ru po kol... весь текст скрыт [показать]
     
  • 3.37, Аноним (-), 11:12, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Используем Криптокомовский openvpn в продакшене.
     
     
  • 4.44, Andrey Mitrofanov (?), 13:02, 14/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > Используем Криптокомовский openvpn в продакшене.

    В новости не он. [И хвост пипочкой.] Но, да, соболоезнования.

     
     
  • 5.55, Аноним (-), 15:52, 14/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    соболезнуйте своей бабушке
    работает этот софт отлично
     
  • 2.65, 80е (?), 10:46, 16/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > А шифрование по ГОСТ там можно реализовать?

    В смысле, БЭКДОР по ГОСТ ?
    Вам так важно обеспечить БЭКДОР ?
    Зачем он вам?

     
     
  • 3.71, Аноним (-), 00:17, 22/01/2013 [^] [ответить]    [к модератору]  
  • +/
    152-ФЗ, 382-П Вам о чём-нибудь говорит?
     
  • 1.8, Аноним (-), 21:10, 13/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для работы требуется
     
     
  • 2.9, Andrey Mitrofanov (?), 22:02, 13/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Для работы требуется

    Ещё раз: без сертификации? Никогда Штирлиц не был так близок к провалу.

     
  • 2.10, pavlinux (ok), 22:12, 13/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Во, сюда - http://www.cryptocom.ru/products/openvpn.html
     
     
  • 3.12, Аноним (-), 23:39, 13/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Я так понял, они всю SSL пересобрали, а не добавили алгоритм к существующей библиотеке. :-(
    Как то печально.
     
     
  • 4.24, pavlinux (ok), 02:20, 14/01/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Отец, ты ОпенССЛ ваще юзал Хоть бы методом тыка просмотрел, иль ман почитал бы ... весь текст скрыт [показать]
     
  • 3.13, Аноним (-), 00:14, 14/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Да Кто хочет поюзать убунту 9 04 А может, вас радует фрибсд 7 Или прочие доис... весь текст скрыт [показать]
     
     
  • 4.15, XoRe (ok), 00:51, 14/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Вы вот такую бумажечку попробуйте получать каждые пол года, с выходом новой убун... весь текст скрыт [показать]
     
     
  • 5.20, pavlinux (ok), 02:00, 14/01/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    Не обращай внимания, ононимные оналитеги, дальше локалхоста в интернет не пускают.
     
  • 5.21, Аноним (-), 02:02, 14/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Печать очень странно наползает на 00009-01, очень похоже на липу ... весь текст скрыт [показать]
     
     
  • 6.25, pavlinux (ok), 02:25, 14/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Забавные вы D ... весь текст скрыт [показать]
     
  • 6.54, ыыы (?), 15:43, 14/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Полностью согласен Печать вдействительности наложена дополнительным слоем с проз... весь текст скрыт [показать]
     
  • 5.27, Аноним (-), 02:41, 14/01/2013 [^] [ответить]    [к модератору]  
  • +6 +/
    > Вы вот такую бумажечку попробуйте получать каждые пол года, с выходом новой убунты:

    Ну а вы сидите наздоровье с сертификатами. И дырами, которые сто лет уже никто не патчит. И кстати не удивляйтесь потом плиз тому что те кто в здравом уме и твердой памяти конторы лепят в других странах. И сервера хостят где угодно, но только не тут. Потому что такой парад маразма - это просто шедеврально. Да, государство у нас много делает. Для того чтобы помочь отечественной IT индустрии скопытиться, например.

     
     
  • 6.38, Аноним (-), 11:14, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Все фиксы бэкпортятся, сынок.


     
     
  • 7.39, Аноним (-), 12:23, 14/01/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Кем На допустим ту же убунту 9 04 canonical настолько уже забил что у нее даже ... весь текст скрыт [показать]
     
  • 6.68, XoRe (ok), 01:53, 18/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Ну да, сервера держат в других странах исключительно из за отсталости отечествен... весь текст скрыт [показать]
     
  • 1.11, Аноним (-), 23:14, 13/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    лучше бы реализовали многопроцессорность.
     
     
  • 2.14, Аноним (-), 00:15, 14/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > лучше бы реализовали многопроцессорность.

    Запустите несколько демонов на серваке и укажите их в клиентских конфигах - будет вам многопроцессорность.

     
  • 2.16, XoRe (ok), 00:51, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > лучше бы реализовали многопроцессорность.

    Вы наверное имели в виду "одновременный запуск нескольких инстансов"?

     
     
  • 3.35, Аноним (-), 09:11, 14/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    нафик мне все это. я хочу, что бы криптовалась быстро быстрюще.
     
     
  • 4.47, Аноним (-), 14:18, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > нафик мне все это. я хочу, что бы криптовалась быстро быстрюще.

    Ну, напиши opencl ускорение для OpenSSL/polarSSL/... - получишь то что хотел.

     
  • 1.17, XoRe (ok), 00:56, 14/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > -  Добавлена опция "--client-nat" для включения автоматической трансляции адресов для того,
    > чтобы избежать конфликта IP-адресов локальной и удалённой сети;

    Потрясающая опция, решает кучу проблем.

     
     
  • 2.18, user (??), 01:46, 14/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Например ... весь текст скрыт [показать]
     
     
  • 3.28, Аноним (-), 02:41, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Например.

    Видимо он о случае когда есть 2 локалки и так уж вышло что их айпишники пересекаются.

     
     
  • 4.60, XoRe (ok), 02:42, 15/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Именно Везде 192 168 0, 192 168 1 Кстати --client-nat позволяет указывать, sna... весь текст скрыт [показать]
     
  • 1.19, user (??), 01:48, 14/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как там перь с easy-rsa?
    Его вроде вынесли в отдельный суб-проект.
     
  • 1.22, Vagon вилз (?), 02:15, 14/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Лучше бы научили его реинвайтить траффик, как в сипе например, что бы не гнать все через центровой сервак.........  
     
     
  • 2.26, pavlinux (ok), 02:29, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Лучше бы CUDA и OpenCL прикуячили.
     
     
  • 3.29, Аноним (-), 02:42, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Лучше бы CUDA и OpenCL прикуячили.

    А что, у тебя оно уже упирается в проц? И вообще, это к SSLной либе вопросы.

     
  • 3.49, Аноним (-), 15:00, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Павлуша, я тебя уважаю, но ты со своей CUDA носишься как с писаной торбой. CUDA - блобятина, а блобы и секурность это несовместимо.
     
     
  • 4.58, pavlinux (ok), 01:20, 15/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > блобы и секурность это несовместимо.

    Дооооооооо... Ахтунг, оналитеги в треде!!!

     
  • 3.63, Sem (??), 03:05, 16/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Лучше бы CUDA и OpenCL прикуячили.

    Зачем??? Шоб было? Как отметили уже выше, лучше бы мультитрединг осилили бы.

     
  • 2.30, Аноним (-), 02:45, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Лучше бы научили его реинвайтить траффик, как в сипе например, что бы
    > не гнать все через центровой сервак.........

    Наверное вы хотели что-то такое? http://www.ntop.org/products/n2n/

     
  • 2.31, daemontux (?), 02:54, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Это вы вообще про что? При чем здесь вообще sip?
     
     
  • 3.36, VolanD (ok), 09:33, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Это вы вообще про что? При чем здесь вообще sip?

    Ну типа когда трафик звонящего ходит не через центральный сервер, а напрямую...

     
     
  • 4.41, Аноним (-), 12:26, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Ну типа когда трафик звонящего ходит не через центральный сервер, а напрямую...

    Такое в n2n сделали. Правда это совершенно посторонний проект.


     
  • 1.32, Vagon вилз (?), 03:22, 14/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    пир ту пир оооочень не хватает овпну, чтобы соеденял сервак, а трафик шел напрямую, минуя сервер от клиента прямо к другому...
     
     
  • 2.50, Аноним (-), 15:03, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Ага, особенно когда у обоих клиентов Венда, ооочень так неуязвимо получится.
     
  • 2.64, Sem (??), 03:14, 16/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Паттерн использования VPN все же другой Сервер является гейтом в сеть ... весь текст скрыт [показать]
     
  • 1.33, Аноним (-), 05:28, 14/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    strongSwan лучше OpenVPN
     
     
  • 2.34, Аноним (-), 05:39, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    клиент под винды http://shrew.net/software
     
  • 2.40, Аноним (-), 12:25, 14/01/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > strongSwan

    OpenVPN хорош тем что доволен одним TCP или UDP портом и потому пролезает везде. А вот c айписеком можно отхватить изрядную порцию айписекаса.

     
     
  • 3.42, КЭП (?), 12:43, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    TCP и UDP днище
    используйте SCTP
     
     
  • 4.45, Аноним (-), 14:02, 14/01/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    > используйте SCTP

    И застряньте на первом же файрволе/нате/прокси. Нет уж, спасибо.

     
  • 3.43, КЭП (?), 12:43, 14/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > А вот c айписеком можно отхватить изрядную порцию айписекаса.

    это только проблема вашего оборудования

     
     
  • 4.46, Аноним (-), 14:05, 14/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Или нашего провайдера, админа, конфигурации вон того фаера, ната, прокси, По... весь текст скрыт [показать]
     
  • 2.48, adsdasdasd123 (?), 14:39, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    IPSec ESP уже научился работать через два NAT'a ipv4?
     
  • 1.66, Димыч (??), 00:49, 17/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кто-нить пользовал клиентов под Ипады, смартфоны и прочую переносную лабуду?
    Как впечатления?
     
     
  • 2.67, metallic (ok), 14:01, 17/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Под ios нету клиента в апсторе. Физически он есть, но требуется взлом устройства, на стоковый айфон/айпад клиент openvpn не поставить
     
  • 2.69, Трупоед (?), 06:13, 18/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Cisco IPSec реализуется на racoon или strongswan, хоть под Linux, хоть под BSD. При использовании чистого IPSec и авторизации по сертификатам можно создать профиль VPN с параметром On-Demand и прописать ресурсы, при обращении к которым VPN будет подниматься автоматически. Сервер надо настраивать с поддержкой NAT-T, тогда весь ESP трафик будет инкапсулироваться в UDP-пакеты на порт 4500.
     
     
  • 3.70, Трупоед (?), 06:14, 18/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Cisco IPSec реализуется на racoon или strongswan, хоть под Linux, хоть под
    > BSD. При использовании чистого IPSec и авторизации по сертификатам можно создать
    > профиль VPN с параметром On-Demand и прописать ресурсы, при обращении к
    > которым VPN будет подниматься автоматически. Сервер надо настраивать с поддержкой NAT-T,
    > тогда весь ESP трафик будет инкапсулироваться в UDP-пакеты на порт 4500.

    path pre_shared_key "/etc/racoon/psk.txt";
    path certificate "/etc/racoon/certs";

    listen {
        isakmp #{src_ip} [500];
        isakmp_natt #{src_ip} [4500];
    }

    remote anonymous {
        proposal_check obey;
        passive on;
        exchange_mode main,aggressive;
        my_identifier fqdn "#{host_fqdn}";
        mode_cfg on;
        verify_cert off;
        ike_frag on;
        generate_policy on;
        nat_traversal on;
        dpd_delay 20;
        proposal {
            encryption_algorithm aes;
            hash_algorithm sha1;
            authentication_method xauth_psk_server;
            dh_group 2;
        }
    }

    mode_cfg {
        conf_source local;

        auth_source system;
        save_passwd on;
        
        dns4 8.8.8.8;
        network4 10.0.0.1;
        pool_size 255;
    }

    sainfo anonymous {
        encryption_algorithm aes;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
    }

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor