OpenVPN

OpenVPN er en åpen kildekode, fullverdig VPN-løsning støttet av SSL (Secure Sockets Layer) og designet for å imøtekomme et bredt spekter av OpenVPN-serverfunksjonalitet, inkludert VPN-er, fra sted til sted tilgang og Wi-Fi-sikkerhet.

Det kan også brukes til å implementere ekstern tilgangsløsninger for enterprise-skala med failover, finkornet tilgangskontroll og belastningsbalansering, samt forenklet OpenVPN Connect UI og OpenVPN Client-applikasjoner for et bredt spekter av operativsystemer.

Prosjektet implementerer både OSI lag 2 og 3 sikre nettverksutvidelser, ved hjelp av industristandard TLS (Transport Layer Security) og SSL (Secure Sockets Layer) protokoller. Den er kompatibel med GNU / Linux, Mac OS X, Android, iOS og Microsoft Windows OSes.

OpenVPN er utviklet for å støtte fleksible klientautentiseringsmetoder basert på sertifikater, tofaktorautentisering og smarte kort. Vær oppmerksom på at det ikke er en proxy for webapplikasjoner, og den fungerer ikke via en nettleser.

I tillegg er OpenVPN Access Server designet for å støtte en rekke konfigurasjoner, inkludert granulær og sikker ekstern tilgang til interne nettverkstjenester, samt private cloud-nettverksapplikasjoner og ressurser, samtidig som det gir svært presis kontroll.

Mange små og mellomstore bedrifter valgte å bruke OpenVPN for å gi sine ansatte ekstern tilkoblingsstøtte for å jobbe hjemmefra eller i utlandet.

Selv om prosjektet faktisk er en demonstrasjonstjeneste som kjører i bakgrunnen, og kun kan nås via en X11-terminalemulator eller Linux-konsollen, finnes det en rekke GUI (Graphical User Interface) frontender for den, slik at enden -user å enkelt koble til en bestemt OpenVPN-server ved hjelp av forhåndsdefinerte konfigurasjonsfiler.

Alt i alt er OpenVPN en flott, åpen kildekode og gratis alternativ til liknende, men proprietær eller vanskelig å implementere VPN-løsninger, for eksempel L2TP (Layer 2 Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol) og IPsec (Internet Protocol Security).

Hva er nytt i denne versjonen:

• David Sommerseth (1):
• ledelse: Advarsel om TCP-porten brukes uten passord
• Gert Doering (3):
• Korrekt versjon i ChangeLog - skal være 2.4.5, ble feilmeldt som 2.4.4
• Løs potensialet dobbeltfritt () i interaktiv tjeneste (CVE-2018-9336)
• forbereder utgivelsen v2.4.6 (ChangeLog, version.m4, Changes.rst)
• Gert van Dijk (1):
• manpage: bedre beskrivelse av - status og - status-versjon
• Joost Rijneveld (1):
• Gjør returkode eksterne tls-nøkkelkampdokumenter
• Selva Nair (3):
• Slett IPv6-ruten til "tilkoblet" nettverk på tun close
• Administrasjon: Advarsel kun om passord når alternativet er i bruk
• Unngå overløp i beregning av vekketid
• Simon Matter (1):
• Legg til manglende #ifdef SSL_OP_NO_TLSv1_1 / 2
• Steffan Karger (1):
• Se etter flere data i kontrollkanalen

Hva er nytt i versjon:

• Antonio Quartulli (1):
• Ignorer auth-nocache for auth-user-pass hvis auth-token blir presset
• David Sommerseth (3):
• krypto: Aktiver SHA256-fingeravtrykkskontroll i - verifisere-hash
• copyright: Oppdater GPLv2 lisenstekster
• auth-token med auth-nocache fix-brøt -disable-crypto builds
• Emmanuel Deloget (8):
• OpenSSL: Ikke bruk direkte tilgang til det indre av X509
• OpenSSL: Ikke bruk direkte tilgang til det interne av EVP_PKEY
• OpenSSL: Ikke bruk direkte tilgang til det indre av RSA
• OpenSSL: Ikke bruk direkte tilgang til det interne av DSA
• OpenSSL: tvinge met-> navn som ikke-konst når vi frigjør () det
• OpenSSL: Ikke bruk direkte tilgang til det interne av EVP_MD_CTX
• OpenSSL: Ikke bruk direkte tilgang til det interne av EVP_CIPHER_CTX
• OpenSSL: Ikke bruk direkte tilgang til det interne av HMAC_CTX
• Gert Doering (6):
• Korrigere NCP-oppførsel på TLS-tilkobling.
• Fjern feilbegrensning på maks antall args for --plugin
• Fest kanten tilfelle med klienter som ikke klarer å konfigurere kryptering på tom PUSH_REPLY.
• Løs potensial 1-byte overread i TCP-opsjonsparsing.
• Løs eksternt utløsbar ASSERT () på feilformet IPv6-pakke.
• Forbereder for utgivelse v2.4.3 (ChangeLog, version.m4, Changes.rst)
• Guido Vranken (6):
• refactor my_strupr
• Lag 2 minnelekkasjer i proxy autentiseringsrutine
• Rask minnelekkasje i add_option () for alternativ 'tilkobling'
• Kontroller at alternativvalg p [] alltid er NULL-avsluttet
• Løs en nullpekerenderference i establish_http_proxy_passthru ()
• Forhindre at to typer stakkbuffer-OOB leser og en krasj for ugyldige inndata
• Jeremie Courreges-Anglas (2):
• Lag en ujustert tilgang på OpenBSD / sparc64
• Mangler inkluderer for socket-flagg TCP_NODELAY på OpenBSD
• Matthias Andree (1):
• Lag openvpn-plugin.h selvstendig igjen.
• Selva Nair (1):
• Pass riktig bufferstørrelse til GetModuleFileNameW ()
• Steffan Karger (11):
• Logg på den forhandlede (NCP) krypteringen
• Unngå en 1 byte overkopi i x509_get_subject (ssl_verify_openssl.c)
• Hopp over tls-krypteringsenhetstester om nødvendig, kryptomodus støttes ikke
• openssl: fikse overflytskontroll for alternativet long -tls-chipher
• Legg til en DSA testnøkkel / cert-par til prøve-nøkler
• Lag mbedtls fingeravtrykksberegning
• mbedtls: lagre ekstern DoS (CVE-2017-7522) - x509-spor etter godkjenning
• mbedtls: krever C-streng kompatible typer for -x509-brukernavn-feltet
• Fjerne utilsiktbare minnelekkasjer (CVE-2017-7521)
• Begrens utvidelsestyper - x509-alt-brukernavn
• Løs potensial dobbeltfritt i -x509-alt-brukernavn (CVE-2017-7521)
• Steven McDonald (1):
• Korrigere gateway deteksjon med OpenBSD ruting domener

Hva er nytt i versjon 2.4.2:

• auth-token: Kontroller at tokens alltid slettes på de-auth
• docs: Advarsler om faste manesider oppdaget ved rpmlint
• Gjør - krypterer - ikke noe mer eksplisitt på risikoene
• plugin: Fiks dokumentasjonstypo for type_mask
• plugin: Eksporter secure_memzero () til plugin-moduler
• Fix extract_x509_field_ssl for eksterne objekter, v2
• Slett passordet etter bruk i auth-pam-plugin
• opprydding: flett pakke_id_alloc_outgoing () til packet_id_write ()
• Kjør ikke packet_id-enhetstester for --disable-crypto builds
• Korrigere endringer.rste oppsett
• Rask minnelekkasje i x509_verify_cert_ku ()
• mbedtls: Kontroller returverdien riktig i pkcs11_certificate_dn ()
• Gjenopprett pre-NCP-rammeparametere for nye økter
• Slett alltid brukernavn / passord fra minnet ved feil
• Sikkerhetshensyn i dokumentet for kryptering i mannssiden
• Ikke påstå at du mottar for store kontrollpakker (CVE-2017-7478)
• Slipp pakker i stedet for å bekrefte om pakke id ruller over (CVE-2017-7479)
• Angi et lavt grensesnitt metrisk for trykkadapter når blokk utenfor dns er i bruk

Hva er nytt i versjon 2.4.1:

• Antonio Quartulli (4):
• forsøk å legge til IPv6-rute selv når ingen IPv6-adresse ble konfigurert
• fikser omdirigering-gatewayadferd når en IPv4-standardrute ikke eksisterer
• CRL: bruk time_t i stedet for struct timespec for å lagre siste mtime
• ignorere eksternt tilfeldig vertsnavn hvis en numerisk vert er gitt
• Christian Hesse (7):
• mann: lag formatering for alternativt alternativ
• systemd: Bruk automakeverktøy til å installere enhedsfiler
• systemd: Kjør ikke på RuntimeDirectory
• systemd: Legg til flere sikkerhetsfunksjoner for systemd-enheter
• Ryd opp administrasjon av plugin path
• plugin: Fjern GNUism i openvpn-plugin.h generasjon
• fikser skrivefeil i varslingsmelding
• David Sommerseth (6):
• administrasjon:> REMOTE-operasjonen vil overskrive ce-endringsindikatoren
• ledelse: Fjern en overflødig #ifdef-blokk
• git: Merge .gitignore filer til en enkelt fil
• systemd: Flytt READY = 1 signalering til et tidligere punkt
• plugin: Forbedre håndtering av standard plugin-katalog
• opprydding: Fjern feilfunksjoner for env-prosessering
• Emmanuel Deloget (8):
• OpenSSL: sjekk for SSL-årsaken, ikke den fulle feilen
• OpenSSL: Ikke bruk direkte tilgang til det indre av X509_STORE_CTX
• OpenSSL: Ikke bruk direkte tilgang til det interne av SSL_CTX
• OpenSSL: Ikke bruk direkte tilgang til det indre av X509_STORE
• OpenSSL: Ikke bruk direkte tilgang til det indre av X509_OBJECT
• OpenSSL: Ikke bruk direkte tilgang til det indre av RSA_METHOD
• OpenSSL: SSLeay-symboler er ikke lenger tilgjengelige i OpenSSL 1.1
• OpenSSL: bruk EVP_CipherInit_ex () i stedet for EVP_CipherInit ()
• Eric Thorpe (1):
• Fix Building Using MSVC
• Gert Doering (5):
• Legg til openssl_compat.h til openvpn_SOURCES
• Fix '--dev null'
• Rask installasjon av IPv6-vertrute til VPN-server når du bruker iservice.
• Gjør ENABLE_OCC ikke lenger avhengig av! ENABLE_SMALL
• Forbereder for utgivelse v2.4.1 (ChangeLog, version.m4)
• Gisle Vanem (1):
• Krasj i options.c
• Ilya Shipitsin (2):
• Løs opp flere problemer med travis-ci
• travis-ci: Fjern ubrukte filer
• Olivier Wahrenberger (1):
• Løs bygging med LibreSSL 2.5.1 ved å rense en hack.
• Selva Nair (4):
• Fiks push-opsjoner fordøye oppdatering
• Utgiv alltid dhcp-adresse i close_tun () på Windows.
• Legg til en sjekk for -Wl, --wrap støtte i linker
• Løs brukerens gruppemedlemskapskontroll i interaktiv tjeneste for å jobbe med domener
• Simon Matter (1):
• Fix segfault når du bruker krypto lib uten AES-256-CTR eller SHA256
• Steffan Karger (8):
• Mer omfattende håndheve Allman-stil og braces-around-conditionals
• Bruk SHA256 til den interne fordøyelsen, i stedet for MD5
• OpenSSL: 1.1 fallout - fikse konfigurering på gamle autoconf
• Fix typer i WIN32 socket_listen_accept ()
• Fjern dupliserte X509 env-variabler
• Lag ikke-C99-kompatible bygg: bruk ikke const size_t som array lengde
• Deprecate --ns-cert-type
• Vær mindre kresen om keyUsage-utvidelser

Hva er nytt i versjon 2.4.0:

• Christian Hesse (1):
• Oppdater år i opphavsrettsmelding
• David Sommerseth (2):
• mann: Forbedre --keepalive delen
• Dokumentér --auth-token-alternativet
• Gert Doering (3):
• Reparere topologi-undernett på FreeBSD 11
• Reparere topologi-undernett på OpenBSD
• Forbereder utgivelse av v2.3.14
• Lev Stipakov (1):
• Slett rekursivt rutete pakker
• Selva Nair (4):
• Støtte - blokker-utenfor-dns på flere tunneler
• Når du analyserer '--setenv opt xx ..' sørg for at en tredje parameter er til stede
• Kart omstart signaler fra hendelsesløkke til SIGTERM under ventetiden for utgående varsling
• Angi riktig standard dhcp-serveradressen på mannsiden
• Steffan Karger (1):
• Ryd opp format_hex_ex ()

Hva er nytt i versjon 2.3.9:

• Arne Schwabe (2):
• Rapporter manglende endtags av inline-filer som advarsler
• Løs å forpligte e473b7c hvis en inline-fil oppstår for å ha en linjeskift nøyaktig ved buffergrensen
• Gert Doering (3):
• Lag en meningsfull feilmelding hvis - Daemon blir i veien for å be om passord.
• Dokument --endringer og konsekvenser (--pass, --auth-nocache).
• Forbereder for utgivelse v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Del ipv6 addr på tett av linux tun grensesnitt
• James Geboski (1):
• Fix - pass ikke tillat passordinngang via stdin
• Steffan Karger (5):
• skriv pid-filen umiddelbart etter demontering
• Gjør __func__ arbeid med Visual Studio også
• fikser regresjon: spørringspassord før du blir daemon
• Løs å bruke administrasjonsgrensesnitt for å få passord.
• Løs overflytskontroll i openvpn_decrypt ()

Hva er nytt i versjon 2.3.8:

• Arne Schwabe (2):
• Rapporter manglende endtags av inline-filer som advarsler
• Løs å forpligte e473b7c hvis en inline-fil oppstår for å ha en linjeskift nøyaktig ved buffergrensen
• Gert Doering (3):
• Lag en meningsfull feilmelding hvis - Daemon blir i veien for å be om passord.
• Dokument --endringer og konsekvenser (--pass, --auth-nocache).
• Forbereder for utgivelse v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Del ipv6 addr på tett av linux tun grensesnitt
• James Geboski (1):
• Fix - pass ikke tillat passordinngang via stdin
• Steffan Karger (5):
• skriv pid-filen umiddelbart etter demontering
• Gjør __func__ arbeid med Visual Studio også
• fikser regresjon: spørringspassord før du blir daemon
• Løs å bruke administrasjonsgrensesnitt for å få passord.
• Løs overflytskontroll i openvpn_decrypt ()

Hva er nytt i versjon 2.3.6:

• Andris Kalnozols (2):
• Løs noen skrivefeil på mannsiden.
• Oppgi ikke x509-brukernavn-feltet for blandede sakargumenter.
• Arne Schwabe (1):
• Løs serverruter som ikke fungerer i topologi-undernett med --server [v3]
• David Sommerseth (4):
• Forbedre feilrapportering på filtilgang til --client-config-dir og --ccd-exclusive
• Ikke la openvpn_popen () holde zombier rundt
• Legg til systemd-enhetsfil for OpenVPN
• systemd: Bruk systemd funksjoner til å vurdere systemd tilgjengelighet
• Gert Doering (4):
• Slip innkommende fe80 :: pakker stille nå.
• Fix t_lpback.sh plattformavhengige feil
• Samtal init script-hjelpere med eksplisitt bane (./)
• Klargjør for utgivelse v2.3.5 (ChangeLog, version.m4)
• Heiko Hund (1):
• Forbedre påstanden om å tillate andre moduser enn CBC
• Hubert Kario (2):
• ocsp_check - underskrift bekreftelse og cert staus resultater er separate
• ocsp_check - dobbeltkjekke om ocsp ikke rapporterte feil i utførelsen
• James Bekkema (1):
• Fest sokkel-flagg / TCP_NODELAY på Mac OS X
• James Yonan (6):
• Fastsatte flere forekomster av erklæringer etter uttalelser.
• I socket.c, fast problem hvor uninitialized value (err) blir sendt til gai_strerror.
• Støt den tredje parameteren for setockopt til const void * for å unngå advarsel.
• MSVC 2008 støtter ikke dimensjonering av en matrise med en const var eller bruk% z som et spesifikt format for printf.
• Definer PATH_SEPARATOR for MSVC-bygg.
• Ferdig noen kompilere problemer med show_library_versions ()
• Jann Horn (1):
• Fjern kvadratisk kompleksitet fra openvpn_base64_decode ()
• Mike Gilbert (1):
• Legg til konfigurasjonskontroll for banen til systemd-ask-passord
• Philipp Hagemeister (2):
• Legg til topologi i konfigureringsserverkonfigurasjonsfilen
• Implementer ruteopplasting for iproute2
• Samuel Thibault (1):
• Kontroller at klientkoble filer alltid slettes
• Steffan Karger (13):
• Fjern funksjon uten effekt (cipher_ok () alltid returnert sant).
• Fjern unødvendige wrapper-funksjoner i crypto_openssl.c
• Løs feil som feilaktig nekter å representere eku i polare bygger
• Oppdater README.polarssl
• Gi nytt navn ALLOW_NON_CBC_CIPHERS til ENABLE_OFB_CFB_MODE, og legg til for å konfigurere.
• Legg til riktig sjekk for kryptomoduser (CBC eller OFB / CFB)
• Forbedre - show-ciphers for å vise om en kryptering kan brukes i statisk tastemodus
• Utfør t_lpback tester for å teste alle cifere rapportert av --show-ciphers
• Ikke avslut daemon hvis åpning eller analyse av CRL mislykkes.
• Rett tastaturet i cipher_kt_mode_ {cbc, ofb_cfb} () doxygen.
• Lagre regresjon med passordbeskyttede private nøkler (polarssl)
• ssl_polarssl.c: fix inkluderer og gjør gjengivelser eksplisitt
• Fjern ubrukte variabler fra ssl_verify_openssl.c extract_x509_extension ()
• TDivine (1):
• Fix "kode = 995" bug med Windows NDIS6-trykkdriver.

Hva er nytt i versjon 2.3.4:

• Løs man side og OSCP script: tls_serial_ {n} er desimalt
• Fix is_ipv6 i tilfelle trykkgrensesnitt.
• IPv6-adresse / ruteoppdatering for Win8
• Legg til SSL-biblioteksversjonsrapportering.
• Mindre t_client.sh opprydding
• Reparere - flere på FreeBSD for IPv4-stikkontakter.
• Skriv om manpeseksjon om - flere steder
• Flere IPv6-relaterte oppdateringer til openvpn man-siden.
• Forhold til samtaler til print_default_gateway på! ENABLE_SMALL
• Forbereder for utgivelse v2.3.4 (ChangeLog, version.m4)
• Bruk native strtoull () med MSVC 2013.
• Når tls-version-min er uspesifisert, gå tilbake til originalversjoneringsmetode.
• Endre underskrift av hash i x509_get_sha1_hash (), korrigerer compiler advarsel.
• Løs OCSP_check.sh for å også bruke desimal for stdout verifisering.
• Løs bygge system for å akseptere ikke-system kryptobibliotek steder for plugins.
• Gjør seriell env eksport konsekvent blant OpenSSL og PolarSSL bygger.
• Lag SOCKSv5-metodevalg
• Fiks skrivefeil i sample build script for å bruke LDFLAGS

Hva er nytt i versjon 2.3.3:

• pkcs11: bruk generisk evp-nøkkel i stedet for rsa
• Legg til støtte av utun-enheter under Mac OS X
• Legg til støtte for å ignorere bestemte alternativer.
• Legg til et notat hva setenv opt gjør for OpenVPN & lt; 2.3.3
• Legg til rapportering av brukergrensesnittversjon til grunnleggende push-peer-info-sett.
• Lag kompileringsfeil i ssl_openssl introdusert av polar ekstern styringsoppdatering
• Fastslå påstand når SIGUSR1 er mottatt mens getaddrinfo er vellykket
• Legg til advarsel for bruk av tilkoblingsblokkvariabler etter tilkoblingsblokker
• Innfør sikkerhetskontroll for http-proxyalternativer
• man side: Oppdater man side om miljøvarianten tls_digest_ {n}
• Fjern alternativet --disable-eurephia configure
• plugin: Utvid plugin-modulen for v3 for å identifisere bruk av SSL-implementering
• autoconf: Fix taster
• Lag filkontrollene når --chroot brukes
• Dokument authfile for sokker server
• Løs IPv6-eksempler i t_client.rc-prøve
• Fastsette sakte minneavvikling på hver enkelt gjenforhandling av klienten.
• t_client.sh: ignorere felt fra "ip -6 ruteplan" utgang som forvrenger resultater.
• Lag kode og dokumentasjon for -remote-random-vertsnavn konsistent.
• Reduser IV_OPENVPN_GUI_VERSION = til IV_GUI_VER =
• Dokumentproblem med --chroot, / dev / urandom og PolarSSL.
• Gi nytt navn til "struct rute" til "struct route_ipv4"
• Erstatt kopierte strukturelementer med inkludert
• Løsning mangler SSL_OP_NO_TICKET i tidligere OpenSSL-versjoner
• Legg alltid mellomliggende sertifikater fra en PKCS # 12-fil
• Støt ikke-ASCII TAP-adapternavn på Windows
• Støt ikke-ASCII-tegn i Windows Tmp-sti
• TLS-versjon forhandling
• Lagt til "setenv opt" direktiv prefiks.
• Angi SSL_OP_NO_TICKET flagg i SSL-konteksten for OpenSSL-bygningen, for å deaktivere TLS-stateless sessionsgjenopptak.
• Løs feilaktig ignorering av pushed config-alternativer (trac # 349).
• Refactor tls_ctx_use_external_private_key ()
• - ledelse-ekstern nøkkel for PolarSSL
• external_pkcs1_sign: Støt ikke-RSA_SIG_RAW hash_ids
• Riktig feiltekst når ingen Windows TAP-enhet er til stede
• Krever en 1.2.x PolarSSL-versjon
• tls_ctx_load_ca: Forbedre sertifikatfeilmeldinger
• Fjern dupliserte krypteringsoppføringer fra TLS-oversettelsestabellen.
• Løs konfigurer interaksjon med statiske OpenSSL-biblioteker
• Ikke pass struct tls_session * som ugyldig * i key_state_ssl_init ().
• Krever polarssl> = 1.2.10 for polarssl-builds, som fikserer CVE-2013-5915.
• Bruk RSA_generate_key_ex () i stedet for utdatert, RSA_generate_key ()
• Oppdater også TLSv1_method () samtaler i støttekode til SSLv23_method () samtaler.
• Oppdater TLSv1-feilmeldinger til SSLv23 for å gjenspeile endringer fra commit 4b67f98
• Hvis - tls-cipher leveres, gjør - show-tls parse listen.
• Legg til openssl-spesifikke vanlige krypteringsliste navn til ssl.c.
• Legg til støtte for klient-cert-ikke-nødvendig for PolarSSL.
• Fix "." i beskrivelse av utun.

Hva er nytt i versjon 2.3.2:

• Bare skriv ut advarsler når et skript brukes. Fjern bortkommen omtale av script-sikkerhetssystem.
• Flytt innstillinger for brukerskript til set_user_script-funksjonen
• Flytt kontroll av skriptfiltilgang til set_user_script
• Gi mer nøyaktig varselmelding
• Fix NULL-pekerkrasj i route_list_add_vpn_gateway ().
• Løs problem med UDP-tunneling på grunn av mishandled pktinfo strukturer.
• Klargjør for v2.3.2 (ChangeLog, version.m4)
• Trykk alltid grunnleggende sett av peer-informasjonverdier til serveren.
• gjør 'eksplisitt-utgående-varsle' trekkbar igjen
• Løs proto tcp6 for server og ikke-P2MP modus
• Korrigere utførelse av Windows-skript når det kalles fra skriptkroker
• Fast tls-chiffer oversettelsesfeil i openssl-build
• Fast bruk av foreldet definerer USE_SSL til ENABLE_SSL
• Korrigere segfault når du aktiverer pf-plugin-moduler

Hva er nytt i versjon 2.2.2:

• Bare advare om IPv6-pakker som ikke er taklet en gang
• Legg til manglende pause mellom "case IPv4" og "tilfelle IPv6", som fører til
• Bump tap driver versjon fra 9.8 til 9.9
• Logfeilmelding og avslutt for "win32, tun-modus, trykkdriverversjon 9.8"
• Backported pkcs11-relaterte deler av 7a8d707237bb18 til 2.2 gren

Hva er nytt? i versjon 2.2.2:

• Bare advarsel om IPv6-pakker som ikke er taklet en gang

Hva er nytt i versjon 2.2 Beta 5:

• Løst et problem som forårsaker en byggefeil med MS Visual Studio 2008.

Hva er nytt i versjon 2.1.4:

• Løs problem med spesielle sakrute mål ')
• Funksjonen init_route () vil etterlate & netlist uberørt for get_special_addr () ruter ("remote_host" er en av dem).
• netlist er på stabel, inneholder tilfeldig søppel, og netlist.len vil ikke være 0 - så blir random stack data kopiert fra netlist.data [] til rute_listen er full.

Hva er nytt i versjon 2.1:

• Windows sikkerhetsproblem:
• Faste potensielle økbarhetsproblem i lokal tjeneste i Windows-tjenesten. Windows-tjenesten oppgir ikke riktig kjørbart filnavn som er bestått til CreateService. En lokal angriper med skriveadgang til rotkatalogen C: kan opprette en kjørbar fil som vil bli kjørt med samme privilegiumnivå som OpenVPN Windows-tjenesten. Siden ikke-administrative brukere normalt mangler skrivetillatelse på C: , er dette sikkerhetsproblemet vanligvis ikke utnyttbart, unntatt på eldre versjoner av Windows (for eksempel Win2K) der standardtillatelsene på C: tillater at noen brukere lager filer der.
• Credit:
• Scott Laurie, MWR InfoSecurity
• Lagt til Python-basert alternativt alternativbyggesystem for Windows ved hjelp av Visual Studio 2008 (i vinnerkatalog).
• Når du avbryter på en ikke-grasiøs måte, må du prøve å utføre do_close_tun i init.c før demonutgangen for å sikre at tun / trykk-grensesnittet er stengt, og eventuelle tilføyte ruter slettes.
• Løst et problem hvor AUTH_FAILED ikke ble riktig levert til klienten når et dårlig passord er gitt for midtsesjon, og forårsaker at forbindelsen mislykkes uten en feilindikasjon.
• Ikke gå videre til neste tilkoblingsprofil på AUTH_FAILED feil.
• Løst et problem i administrasjonsgrensesnittet som kan føre til at en prosess henger med 100% CPU-utnyttelse i -management-klientmodus dersom administrasjonsgrensesnittklienten kobles fra ved det punkt der legitimasjonene forespørres.
• Løst et problem der hvis reneg-sek ble satt til 0 på klienten, slik at server-sideverdien ville ha forrang, ville auth_deferred_expire_window-funksjonen feilaktig returnere en vindusperiode på 0 sekunder. I dette tilfellet bør den riktige vinduperioden være handshake-vinduet.
• Modifisert & quot;> Passord: Verifisering mislyktes & quot; administrasjon grensesnitt melding for å inkludere en klient årsak streng:
• > PASSWORD: Verifisering mislyktes:
• 'AUTH_TYPE' ['REASON_STRING']
• Aktiver eksponentiell backoff i pålitelighetslagsforsendelser.
• Sett sokkelbuffere (SO_SNDBUF og SO_RCVBUF) umiddelbart etter at socket er opprettet i stedet for å vente til etter tilkobling / lytte.
• Optimering av administrasjonsgrensesnittets ytelser:
• en. Lagt til env-filter MI-kommando for å utføre filtrering på env vars passert gjennom som en del av -management-client-auth 2. man_write vil nå prøve å aggregere utdata til større blokker (opptil 1024 byte) for mer effektiv i / o
• Fast mindre problem i Windows TAP-driver DEBUG bygger der ikke-nullterminerte unicode-strenger ble skrevet ut feil.
• Fast problem på Windows med MSVC-kompilator, hvor TCP_NODELAY-støtte ikke ble samlet inn.
• Proxy forbedringer:
• Forbedret muligheten til http-auth "auto" flagg for å oppdage auth-metoden som kreves av proxyen. Lagt til http-auth "auto-nct" flagg for å avvise svake proxy auth metoder. Lagt til HTTP-proxy-fordøyelsesautentiseringsmetode. Fjernet eksterne openvpn_sleep-anrop fra proxy.c.
• Implementert http-proxy-overstyring og http-proxy-fallback-direktiver for å gjøre det lettere for OpenVPN-klientgrensesnitt å starte en eksisterende klientkonfigurasjonsfil med proxy-alternativer, eller å tilpasse seg tilbake til en proxy-tilkobling hvis en direkte forbindelse svikter.
• Implementert en nøkkel / verdi auth-kanal fra klient til server.
• Fast problem hvor dårlig kreditt som leveres av administrasjonsgrensesnittet for HTTP Proxy Basic Authentication, vil gå inn i en uendelig feilsøkingsløkke i stedet for å kreve administrasjonsgrensesnittet for ny kreditt.
• Lagt til støtte for MSVC feilsøking av openvpn.exe i settings.in:
• # Bygg feilsøkingsversjonen av openvpn.exe! definer PRODUCT_OPENVPN_DEBUG
• Implementert multi-adresse DNS-utvidelse i nettverksfeltet for rutekommandoer. Når bare en enkelt IP-adresse er ønsket fra en utvidet DNS-utvidelse, bruker du den første adressen i stedet for et tilfeldig utvalg.
• Lagt til - register-dns-alternativet for Windows. Fiks noen problemer på Windows med --logg, underprosessopprettelse for kommandorekjøring og stdout / stderr omdirigering.
• Løst et problem der overføring av applikasjons nyttelast på TLS-kontrollkanalen (for eksempel AUTH_FAILED) som oppstår under eller umiddelbart etter at en TLS-forhandling kan bli droppet.
• Lagt til advarsel om tls-eksternt alternativ på man siden.