Релиз OpenVPN 2.2.0

03.05.2011 13:22

После полутора лет разработки вышел релиз OpenVPN 2.2.0, популярной открытой системы для создания виртуальных частных сетей, позволяющей организовать шифрованное соединение между двумя клиентскими машинами или организовать централизованный VPN сервер для одновременной работы нескольких клиентов. Код OpenVPN распространяется в рамках лицензии GPLv2, готовые бинарные пакеты подготовлены для Debian и Ubuntu.

По заявлению разработчиков, выпуск OpenVPN 2.2 примечателен вовлечением в разработку представителей независимого сообщества. В частности, кроме изменений реализованных работниками компании OpenVPN Technologies, в состав новой версии включены улучшения от 23 независимых разработчиков, представивших более 100 патчей. Отдельно отмечен переход проекта на использование Git-репозитория для управления исходными текстами. Все принятые внешние патчи отныне направляются в данный репозиторий. Кроме того, в Git-репозитории создано несколько ответвлений для трекинга изменений в релизах 2.1.x, 2.2.x и будущего выпуска 2.3, ключевым новшеством которого станет полноценная поддержка IPv6 (как поддержка соединения по IPv6 между клиентом и сервером, так и проброс IPv6 трафика по туннелю).

Из добавленных в новой версии улучшений можно отметить:

Реализована поддержка директив http-proxy-override и http-proxy-fallback для упрощения использования в клиентских пользовательских интерфейсах типовых файлов конфигурации с уже установленными опциями настройки прокси или для адаптивного использования прокси в случае проблем с установкой прямого линка;
Обеспечена поддержка ситуации определения нескольких IP-адресов в процессе DNS-преобразования имени хоста. Если раньше IP для соединения выбирался случайно, то теперь всегда используется только первый адрес в списке;
Реализована поддержка передаваемого от клиента к серверу канала аутентификации в форме ключ/значение;
В режиме клиента реализована поддержка "challenge/response" аутентификации;
Добавлена поддержка нешифрованной аутентификации через SOCKS;
При работе через HTTP-прокси добавлена поддержка метода digest-аутентификаци;
Удален жестко прошитый в коде путь к resolvconf;
Добавлена обработка HTTP/1.1-заголовка "Host";
Решены проблемы, приводившие к выводу предупреждений в процессе сборки с openssl 1.0.0;
Добавлена альтернативная система сборки для платформы Windows, написанная на языке Python и использующая компилятор Visual Studio 2008;
Для платформы Windows реализована поддержка опции "--register-dns";
Проведена оптимизация производительности управляющего интерфейса;
Улучшена поддержка автоматического определения метода аутиентификации при работе через прокси, при указании в директиве http-auth параметра "auto". Дополнительно в http-auth добавлена возможность указания флага "auto-nct", который не использует ненадежные методы аутентификации;
В плагине auth-pam добавлена поддержка указания в конфигурации связки из домена и имени пользователя;
Для выбора случайного номера порта для ожидания соединений теперь можно использовать 'lport 0' в настройках;
Реализован полноценный фреймворк для тестирования клиентских VPN-соединений;
Документированы опции "--explicit-exit-notify", "--rdns-internal", "--client-config-dir", "--explicit-exit-notify", "--tmp-dir" и "--management-client";
Устранены проблемы со сборкой на платформах NetBSD и OpenBSD;
Добавлена опциональная возможность "--x509-username-field";
Для платформы Solaris реализована поддержка TAP-режима и возможность определения топологии подсети;
Добавлена поддержка предварительно собранных TAP-драйверов для которых автоматически формируются параметры встраивания;
В TAP-драйвере для Windows, при работе в TUN-режиме, реализована поддержка IPv6;
Упоминание Win2k убрано из списка поддерживаемых платформ.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/30434-OpenVPN

Ключевые слова: OpenVPN, vpn, tunnel, crypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.1, rusadmin (ok), 14:23, 03/05/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Круть Обновляться надо

1.2, Аноним (2), 15:02, 03/05/2011 [ответить] [﹢﹢﹢] [ · · · ]	–7 +/–
А на кой оно надо??? Есть же IP Sec хоть с ключами, хоть с паролями.

2.3, Жопка3 (?), 15:05, 03/05/2011 [^] [^^] [^^^] [ответить]	+/–
например если вы хотите, чтобы данные при передачи шифровались с помощью гостовых алгоритмов.

2.4, Аноним (-), 15:11, 03/05/2011 [^] [^^] [^^^] [ответить]	+/–
ipsec не работает через tcp,прокси,nat

3.7, John Q Smith (?), 16:40, 03/05/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Таки через NAT IPSec вполне себе работает. NAT-T это называется.

4.16, bill (??), 19:39, 03/05/2011 [^] [^^] [^^^] [ответить]	+/–
А Вы попробуйте несколько клиентов из-за одного ната соединить. Или из-за разных натов, но с одним и тем же локальным ip.

3.8, non anon (?), 16:45, 03/05/2011 [^] [^^] [^^^] [ответить]	+/–
>ipsec не работает через ...nat Справедливости ради замечу, что это зависит от ната (например, нат на базе pf просто не поддерживает gre, а с ipfw и netfilter - все нормально).

4.10, John Q Smith (?), 17:42, 03/05/2011 [^] [^^] [^^^] [ответить]	+1 +/–
pf прекрасно натит gre.

5.11, анонимХ (?), 17:55, 03/05/2011 [^] [^^] [^^^] [ответить]	+/–
С какой версии/proof link?

6.24, John Q Smith (?), 12:47, 04/05/2011 [^] [^^] [^^^] [ответить]	+/–
FreeBSD 8.2-STABLE vpn# pfctl -ss \| grep 10.9.102.10 all tcp 93.xx.yy.66:1723 <- 10.9.102.10:59661 ESTABLISHED:ESTABLISHED all tcp 10.9.102.10:59661 -> 195.xx.yy.144:51797 -> 93.xx.yy.66:1723 ESTABLISHED:ESTABLISHED all gre 93.xx.yy.66 <- 10.9.102.10 MULTIPLE:MULTIPLE all gre 10.9.102.10 -> 195.xx.yy.144 -> 93.xx.yy.66 MULTIPLE:MULTIPLE

7.26, анонимХ (?), 21:36, 04/05/2011 [^] [^^] [^^^] [ответить]	+/–
Как я понимаю по MULTIPLE:MULTIPLE трассировки для gre до сих пор так и нет:). Попробуйте установить еще одно соединение с приватного IP к тому же серверу и сообщите о результатах.

2.5, metallic (ok), 15:48, 03/05/2011 [^] [^^] [^^^] [ответить]	+/–
Может стоит хотя бы почитать про openvpn, не говоря уже о том, что попробовать?

2.6, Vitaly_loki (ok), 15:56, 03/05/2011 [^] [^^] [^^^] [ответить]	+/–
IPSec работает на сетевом уровне OSI. OpenVPN это совсем другое

1.12, digitalm (ok), 18:23, 03/05/2011 [ответить] [﹢﹢﹢] [ · · · ]

+/–

У меня была проблема в 2.1.3, которая не позволяет посадить openvpn на несколько интерфейсов сразу.

Есть хост подключенный к двум провайдерам - A.A.A.A и B.B.B.B. Биндим openvpn на 0.0.0.0 к обоим адресам. Естественно, прописываем раздельную маршрутизацию на интерфейсы, чтоб они могли работать независимо. Посылаем с клиента запрос в B.B.B.B, а получаем ответ с адреса A.A.A.A, потому что он основной (первый).

Интересно, это пофиксили или я что-то делал не так?

2.13, tcup (?), 19:09, 03/05/2011 [^] [^^] [^^^] [ответить]	+/–
под win, 2.0.9, без "бинденья" (и так на 0.0.0.0) отвечает на нужный интерфейс

2.14, anonymous (??), 19:09, 03/05/2011 [^] [^^] [^^^] [ответить]	+2 +/–
> У меня была проблема в 2.1.3, которая не позволяет посадить openvpn на > несколько интерфейсов сразу. > Есть хост подключенный к двум провайдерам - A.A.A.A и B.B.B.B. Биндим openvpn > на 0.0.0.0 к обоим адресам. Естественно, прописываем раздельную маршрутизацию на интерфейсы, > чтоб они могли работать независимо. Посылаем с клиента запрос в B.B.B.B, > а получаем ответ с адреса A.A.A.A, потому что он основной (первый). > Интересно, это пофиксили или я что-то делал не так? имхо, впн тут не при чем. Просто криво настроен роутинг.

2.19, argouln (??), 08:25, 04/05/2011 [^] [^^] [^^^] [ответить]	+/–
> У меня была проблема в 2.1.3, которая не позволяет посадить openvpn на > несколько интерфейсов сразу. > Есть хост подключенный к двум провайдерам - A.A.A.A и B.B.B.B. Биндим openvpn > на 0.0.0.0 к обоим адресам. Естественно, прописываем раздельную маршрутизацию на интерфейсы, > чтоб они могли работать независимо. Посылаем с клиента запрос в B.B.B.B, > а получаем ответ с адреса A.A.A.A, потому что он основной (первый). > Интересно, это пофиксили или я что-то делал не так? Поставьте например pf и настройте как то так http://argo-uln.blogspot.com/2008/02/pf-freebsd-62-3.html

3.21, digitalm (ok), 08:42, 04/05/2011 [^] [^^] [^^^] [ответить]	+/–
Ну да, я забыл сказать, что через NAT это все решается. Так оно и работает сейчас.

1.15, Гога (?), 19:11, 03/05/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Респект разработчикам! 5 лет эксплуатации - 12 удаленных офисов - живет даже на довольно гнилых линиях, пока все возникающие проблемы позволяет решить. Для digitalm, я такой конфигурации не пробовал - запускал на одной машине сервер и клиент одновременно (под фряхой), м.б. вам нужно 2 экземпляра OpenVPN запустить - каждый на свой интерфейс?

2.18, digitalm (ok), 07:14, 04/05/2011 [^] [^^] [^^^] [ответить]	+/–
Два экземпляра это решение описанное в интернете. Но я не вижу объективной причины так делать, да и очень неудобно это. В моей конфигурации запрещен двойной вход с одним сертификатом, а с двумя экземплярами сервера это реализовать невозможно. К тому же индивидуальное адресное пространство для каждого экземпляра сервера делать придется. В общем, не годится такое решение, не нравится оно мне.

3.20, anonim (?), 08:34, 04/05/2011 [^] [^^] [^^^] [ответить]	+/–
посмотри в сторону ключа mutlihome. интересный функционал получатся с его использованием.

4.22, digitalm (ok), 09:09, 04/05/2011 [^] [^^] [^^^] [ответить]	+/–
> посмотри в сторону ключа mutlihome. интересный функционал получатся с его использованием. Ура! Вот собственно то, что я и упустил. Спасибо, помогло.

5.23, jbond (??), 10:25, 04/05/2011 [^] [^^] [^^^] [ответить]	+/–
--multihome в 2.1. работала только в Linux в 2.2 это изменилось?

1.17, PavelR (??), 22:38, 03/05/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
надо бы сообщить опенвпновцам, что дебиан уже как бы 6 а не 5 :-)

1.25, ALex_hha (ok), 19:53, 04/05/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Интересно, это пофиксили или я что-то делал не так? 100 лет как работает с опцией multihome. Но вроде только на линухе :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: