OpenVPN

OpenVPN - це відкрите джерело, повнофункціональний VPN-рішення із підтримкою протоколу SSL (Secure Sockets Layer) і призначений для розміщення широкого діапазону функцій сервера OpenVPN, включаючи мережеві VPN-адреси, віддалене доступ та захист Wi-Fi.

Він також може бути використаний для реалізації рішень віддаленого доступу в масштабах масштабу підприємства з перехопленням, дрібнозернистим контролем доступу та балансуванням навантаження, а також спрощеними додатками для OpenVPN Connect та клієнтами OpenVPN для широкого кола операційних систем.

Проект реалізує обидві розширення захищених мереж як OSI-2, так і 3, використовуючи стандартні стандарти TLS (Security Layer Security) та протоколи SSL (Secure Sockets Layer). Він сумісний з операційними системами GNU / Linux, Mac OS X, Android, iOS та Microsoft Windows.

OpenVPN призначений для підтримки гнучких методів аутентифікації клієнтів на основі сертифікатів, двофакторної аутентифікації та смарт-карт. Пам'ятайте, що це не проксі-сервер веб-додатка, і він не працює через веб-браузер.

Крім того, сервер OpenVPN Access Server призначений для підтримки безлічі конфігурацій, включаючи гнучкий та безпечний віддалений доступ до внутрішніх мережевих служб, а також приватних веб-застосунків та ресурсів хмарних мереж, пропонуючи точний контроль.

Численні малі та середні підприємства вирішили використовувати OpenVPN для надання своїх працівників підтримкою віддаленого підключення для роботи з дому чи за кордоном.

Хоча проект насправді є службою daemon, яка працює у фоновому режимі і може бути доступ лише через емулятор термінала X11 або консоль Linux, існує широкий діапазон інтерфейсів графічного інтерфейсу користувача, що дозволяє закінчити - Користувачі можуть легко підключитися до певного сервера OpenVPN за допомогою попередньо визначених файлів конфігурації.

Загалом, OpenVPN - це відмінне, відкрите джерело та безкоштовна альтернатива подібним, проте проприватизованим або важко реалізованим VPN-рішенням, такими як L2TP (протокол тунелювання Layer 2), PPTP (протокол тунелювання з точками до точки) і IPsec (захист інтернет-протоколів).

Що нового в цьому випуску:

• Девід Соммерсе (1):
• управління: попередити, якщо TCP-порт використовується без пароля
• Герт Доінг (3):
• Правильна версія в ChangeLog - має бути 2.4.5, була помилковою як 2.4.4
• Виправте потенційний подвійний безкоштовний () в інтерактивній службі (CVE-2018-9336)
• підготовка випуску v2.4.6 (ChangeLog, version.m4, Changes.rst)
• Герт ван Дайк (1):
• довідник: покращити опис стану та стану-версії
• Joost Rijneveld (1):
• Зробіть коди повернення зовнішніх документів для відповідності ключовим словам
• Selva Nair (3):
• Видалити маршрут IPv6 до & quot; підключеного & quot; мережа в закритому чані
• Керування: попереджайте про пароль лише тоді, коли цей параметр використовується
• Уникайте переповнення під час розрахунку часу пробудження
• Саймон Матеріал (1):
• Додати відсутній #ifdef SSL_OP_NO_TLSv1_1 / 2
• Стеффан Каргер (1):
• Перевірте наявність додаткових даних у каналі керування

Що нового в версії:

• Антоніо Квартуллі (1):
• Ігнорувати auth-nocache для auth-user-pass, якщо виштовхнути авто-токен
• Девід Соммерсе (3):
• крипто: увімкніть перевірку відбитків пальців SHA256 в --verify-hash
• авторське право: оновіть тексти ліцензій GPLv2
• auth-токен з авторизацією autoconfix виправлено - розбиття на основі крипто
• Еммануель Делоджет (8):
• OpenSSL: не використовуйте прямий доступ до внутрішньої версії X509
• OpenSSL: не використовуйте прямий доступ до внутрішнього пристрою EVP_PKEY
• OpenSSL: не використовуйте прямий доступ до внутрішньої служби RSA
• OpenSSL: не використовуйте прямий доступ до внутрішнього DSA
• OpenSSL: force meth-> ім'я як неконстумент, коли ми вільно () це
• OpenSSL: не використовувати прямий доступ до внутрішньої системи EVP_MD_CTX
• OpenSSL: не використовуйте прямий доступ до внутрішньої мережі EVP_CIPHER_CTX
• OpenSSL: не використовуйте прямий доступ до внутрішньої версії HMAC_CTX
• Герт Дурінг (6):
• Виправте поведінку NCP при повторному підключенні TLS.
• Видалити помилкове обмеження на максимальну кількість аргументів для - plugin
• Виправте крайний випадок, коли клієнти не зможуть налаштувати шифр на порожній PUSH_REPLY.
• Виправте потенційне 1-байтне зависання при розбору параметра TCP.
• Виправте віддалено спрацьовую ASSERT () у неправильному пакеті IPv6.
• Підготовка до випуску v2.4.3 (ChangeLog, version.m4, Changes.rst)
• Гвідо Вранкен (6):
• refactor my_strupr
• Виправте 2 витоку пам'яті в режимі перевірки автентичності через проксі
• Виправлено витік пам'яті в add_option () для опції 'connection'
• Переконайтеся, що масив параметрів p [] завжди збігається з NULL
• Виправте нульовий покажчик у set_http_proxy_passthru ()
• Забороняється виконувати два види буфера стеку: OOB читає та аварійне завершення роботи для недійсних вхідних даних
• Jeremie Courreges-Anglas (2):
• Виправте неприєднання доступу до OpenBSD / sparc64
• Відсутні включення для сокетів-прапорців TCP_NODELAY на OpenBSD
• Маттіас Андре (1):
• Знову відкрийте openvpn-plugin.h.
• Selva Nair (1):
• Передайте правильний розмір буфера до GetModuleFileNameW ()
• Стеффан Каргер (11):
• Введіть шифр, який був узгодженим (NCP)
• Уникайте перенаправлення 1 байта в x509_get_subject (ssl_verify_openssl.c)
• Пропустіть tls-криптографічні тестові версії, якщо потрібний криптовий режим не підтримується
• openssl: виправте переповнення для довгого параметра --tls-cipher
• Додайте тестову клавішу DSA / cert pair до ключів для вибірки
• Виправте розрахунок відбитків пальців для mbedtls
• mbedtls: fix - віддалений DoS (CVE-2017-7522) після аутентифікації після відстеження
• mbedtls: вимагати типи, сумісні з C-string, для поля -x509-username-field
• Виправте витік пам'яті з виходом з дистанційним керуванням (CVE-2017-7521)
• Обмежити типи розширення -x509-alt-ім'я користувача
• Виправте потенційне подвійне вільне в --x509-alt-ім'я користувача (CVE-2017-7521)
• Стівен Макдональд (1):
• Виправлення виявлення шлюзу за допомогою домену маршрутизації OpenBSD

Що нового у версії 2.4.2:

• auth-токен: переконайтеся, що маркери завжди витираються за допомогою de-auth
• docs: виправлено попередження на сторінках сторінки rpmlint
• Зробити --cipher / - більше не вказати на ризики
• плагін: виправлення помилок документації для типу_маску
• плагін: експортувати secure_memzero () до плагінів
• Виправте extract_x509_field_ssl для зовнішніх об'єктів, v2
• В авторизаційному плагіні видаліть пароль після використання
• очищення: з'єднання packet_id_alloc_outgoing () до пакету_id_write ()
• Не запускайте тести на пристрій packet_id для збірки "-disable-crypto"
• Виправлення розширень Changes.rst
• Виправте витік пам'яті в x509_verify_cert_ku ()
• mbedtls: правильно перевірити повернене значення у pkcs11_certificate_dn ()
• Відновіть параметри кадру до NCP для нових сеансів
• Завжди видаляйте ім'я користувача чи пароль із пам'яті за помилкою
• Зверніть увагу на міркування безпеки tls-crypt на сторінці користувача
• Не заявляйте про прийом занадто великих пакетів керування (CVE-2017-7478)
• Залиште пакети, а не стверджуйте, якщо ідентифікатор пакета перевертається (CVE-2017-7479)
• Встановіть низький показник інтерфейсу для перехідника, коли використовується блок-out-dns

Що нового у версії 2.4.1:

• Антоніо Квартуллі (4):
• спробуйте додати маршрут IPv6 навіть тоді, коли не налаштовано жодну адресу IPv6
• виправлення поведінки перенаправлення шлюзу, коли маршрут за замовчуванням IPv4 не існує
• CRL: використовуйте time_t замість struct timespec для зберігання останнього mtime
• ігнорувати назву віддаленого випадкового хоста, якщо вказано номерний хост
• Християнин Гессе (7):
• man: виправити форматування альтернативного варіанту
• systemd: використовуйте інструменти automake для встановлення блочних файлів
• systemd: не бігайте за RuntimeDirectory
• systemd: додайте додаткову функцію безпеки для системних пристроїв
• Очищення плагінового шляху
• плагін: видалити GNUism в openvpn-plugin.h генерації
• виправте помилку в повідомленні
• Девід Соммерсе (6):
• управління: & gt; ДИСТАНЦІЙНА операція перезапише індикатор зміни
• управління: видаліть резервний блок #ifdef
• git: об'єднувати .gitignore файли в один файл
• systemd: перемістіть сигналізацію READY = 1 до попередньої точки
• плагін: покращення обробки каталогу плагінів за замовчуванням
• очищення: видаліть несправні функції обробки ENV
• Еммануель Делоджет (8):
• OpenSSL: перевірте причину SSL, а не повну помилку
• OpenSSL: не використовуйте прямий доступ до внутрішньої версії X509_STORE_CTX
• OpenSSL: не використовуйте прямий доступ до внутрішнього SSL_CTX
• OpenSSL: не використовуйте прямий доступ до внутрішньої версії X509_STORE
• OpenSSL: не використовуйте прямий доступ до внутрішньої версії X509_OBJECT
• OpenSSL: не використовуйте прямий доступ до внутрішньої версії RSA_METHOD
• OpenSSL: символи SSLeay більше не доступні в OpenSSL 1.1
• OpenSSL: використовувати EVP_CipherInit_ex () замість EVP_CipherInit ()
• Ерік Торп (1):
• Виправити будівництво за допомогою MSVC
• Герт Доінг (5):
• Додайте openssl_compat.h до openvpn_SOURCES
• Виправте '--dev null'
• Виправте встановлення маршруту хоста IPv6 до сервера VPN при використанні iservice.
• Зробити ENABLE_OCC більше не залежить від! ENABLE_SMALL
• Підготовка до випуску v2.4.1 (ChangeLog, version.m4)
• Gisle Vanem (1):
• Збій у параметрах.c
• Ілля Шипіцин (2):
• Вирішити декілька проблем з travis-ci
• travis-ci: видалити невикористані файли
• Олів'є Вахренбергер (1):
• Виправте будівлю за допомогою LibreSSL 2.5.1, очистивши хак.
• Selva Nair (4):
• оновити дайджест параметрів натискання опцій
• Завжди випускайте адресу dhcp за допомогою close_tun () у Windows.
• Додайте чек для -Wl, --заморозьте підтримку у компонувальнику
• Виправте членство в групі користувачів в інтерактивному сервісі для роботи з доменами
• Саймон Матеріал (1):
• Виправте segfault при використанні крипто-бібліотеки без AES-256-CTR або SHA256
• Стеффан Каргер (8):
• Більш широко застосовуйте стиль Allman і підстроювальні підказки
• Використовуйте SHA256 для внутрішнього дайджесту, а не MD5
• OpenSSL: 1.1 fallout - виправте налаштування на старому автоконфігурі
• Виправлення типів у WIN32 socket_listen_accept ()
• Видалити дублікати змінних env_x509
• Виправте не-C99-сумісні збірки: не використовуйте const size_t як довжину масиву
• Відмовитися від --ns-cert-type
• Будьте менш розбірливими щодо розширень keyUsage

Що нового у версії 2.4.0:

• Християнин Гессе (1):
• оновити рік у повідомленні про авторські права
• Девід Соммерсе (2):
• чоловік: покращити розділ --keepalive
• Документ для опції --auth-token
• Герт Доінг (3):
• Ремонт топологічної підмережі на FreeBSD 11
• Ремонт топологічної подсети в OpenBSD
• Підготовка до випуску v2.3.14
• Лев Стипаков (1):
• Падіння рекурсивно маршрутизованих пакетів
• Selva Nair (4):
• Підтримка --block-outside-dns на кількох тунелях
• Під час аналізу '--setenv opt xx ..' переконайтеся, що присутній третій параметр
• Перезавантажте сигнали з циклу події до SIGTERM під час очікування повідомлення про виїзд
• Правильно вказати адресу сервера Dhcp за промовчанням на сторінці користувача
• Стеффан Каргер (1):
• Очистити format_hex_ex ()

Що нового у версії 2.3.9:

• Арне Швабе (2):
• Повідомити про відсутність кінцевих елементів вбудованих файлів як попереджень
• Виправити помилку e473b7c, якщо вбудованому файлі буде розбиття рядка точно на ліміт буфера
• Герт Доінг (3):
• Покажіть суттєве повідомлення про помилку, якщо - daemon отримає спосіб запитати паролі.
• Документ - зміни та наслідки (--askpass, --auth-nocache).
• Підготовка до випуску v2.3.8 (ChangeLog, версія.m4)
• Хольгер Куммерт (1):
• Del ipv6 addr на закритті інтерфейсу linux tun
• Джеймс Геобски (1):
• Fix --askpass не дозволяє вводити пароль за допомогою stdin
• Стеффан Каргер (5):
• писати pid файл відразу після демонування
• Зробіть __func__ роботою також з Visual Studio
• виправити регрес: пароль запиту, перш ніж стати демон
• Виправте за допомогою інтерфейсу керування, щоб отримати паролі.
• Виправте перевірку переповнення у openvpn_decrypt ()

Що нового у версії 2.3.8:

• Арне Швабе (2):
• Повідомити про відсутність кінцевих елементів вбудованих файлів як попереджень
• Виправити помилку e473b7c, якщо вбудованому файлі буде розбиття рядка точно на ліміт буфера
• Герт Доінг (3):
• Покажіть суттєве повідомлення про помилку, якщо - daemon отримає спосіб запитати паролі.
• Документ - зміни та наслідки (--askpass, --auth-nocache).
• Підготовка до випуску v2.3.8 (ChangeLog, версія.m4)
• Хольгер Куммерт (1):
• Del ipv6 addr на закритті інтерфейсу linux tun
• Джеймс Геобски (1):
• Fix --askpass не дозволяє вводити пароль за допомогою stdin
• Стеффан Каргер (5):
• писати pid файл відразу після демонування
• Зробіть __func__ роботою також з Visual Studio
• виправити регрес: пароль запиту, перш ніж стати демон
• Виправте за допомогою інтерфейсу керування, щоб отримати паролі.
• Виправте перевірку переповнення у openvpn_decrypt ()

Що нового у версії 2.3.6:

• Андріс Калнозолс (2):
• Виправте деякі друкарські помилки на сторінці користувача.
• Не користуйтесь полями x509-username-для міркувальних аргументів
• Арне Швабе (1):
• Виправте маршрути серверів, які не працюють в підмережі топології, за допомогою --server [v3]
• Девід Соммерсе (4):
• Поліпшення повідомлень про помилки при доступі до файлу --client-config-dir та - excel-excel
• Не дозволяйте openvpn_popen () зберігати зомбі навколо
• Додайте файл systemd для OpenVPN
• systemd: використовувати системні функції, щоб розглянути доступність системи
• Герт Доінг (4):
• Зараз падіння вхідних fe80 :: пакетів тихо
• Виправте t_lpback.sh залежних від платформи помилок
• Зателефонуйте за ініціалізацією сценаріїв за допомогою явного шляху (./)
• Підготовка до випуску v2.3.5 (ChangeLog, версія.m4)
• Хейко Хунд (1):
• виправте твердження, щоб дозволити інші режими, ніж CBC
• Хуберт Каріо (2):
• ocsp_check - перевірка підпису та результати сертифікації стають роздільними
• ocsp_check - подвійна перевірка, якщо ocsp не повідомив про помилки при виконанні
• Джеймс Беккема (1):
• Виправте сокет-прапорець / TCP_NODELAY на Mac OS X
• Джеймс Йонан (6):
• Виправлено кілька примірників декларацій після виписки.
• У socket.c виявлено неполадку, де неінфіковане значення (помилка) передається в gai_strerror.
• Явно викиньте третій параметр setockopt на const void *, щоб уникнути попередження.
• MSVC 2008 не підтримує розмірність масиву за допомогою const var та не використовує% z як специфікатор формату printf.
• Визначте PATH_SEPARATOR для збірки MSVC.
• Виправлено деякі проблеми з компіляцією за допомогою show_library_versions ()
• Янн Хорн (1):
• Вилучіть квадратичну складність з openvpn_base64_decode ()
• Майк Джилберт (1):
• Додати перевірку конфігурації для шляху до systemd-ask-password
• Філіп Хагемейстер (2):
• Додати топологію у файл конфігурації сервера зразків
• Внедрення маршруту через маршрутизацію для iproute2
• Самуїл Тібо (1):
• Переконайтеся, що файли клієнтського підключення завжди видаляються
• Стеффан Каргер (13):
• Вилучити функцію без ефекту (cipher_ok () завжди повертається істинно).
• Вилучіть непотрібні функції обгортки в crypto_openssl.c
• Виправлення помилки, що неправильно відмовляється від представлення eu в полярних збірках
• Оновити README.polarssl
• Перейменуйте ALLOW_NON_CBC_CIPHERS в ENABLE_OFB_CFB_MODE і додайте для налаштування.
• Додати правильну перевірку криптографічних режимів (CBC або OFB / CFB)
• Поліпшення - показувати шифри, щоб показати, чи можна використовувати шифр у режимі статичного ключа
• Поширюйте тести t_lpback, щоб перевірити всі шифри, про які повідомляють - show-ciphers
• Не виходьте з демон, якщо відкриття або розбір CRL не вдається.
• Виправте помилку в cipher_kt_mode_ (cbc, ofb_cfb) () doxygen.
• Виправте регресію за допомогою приватних ключів, захищених паролем (polarssl)
• ssl_polarssl.c: виправлення включає і робить відклики явним
• Видалити невикористані змінні з ssl_verify_openssl.c extract_x509_extension ()
• TDivine (1):
• Виправте & quot; код = 995 & quot; помилка з драйвером для відтворення Windows NDIS6.

Що нового у версії 2.3.4:

• Виправити сторінку людини та сценарій OSCP: tls_serial_ (n) - десятковий
• Виправте is_ipv6 у випадку інтерфейсу торкання.
• Виправлення адреси / маршруту IPv6 для Win8
• Додайте звіт про версію бібліотеки SSL.
• Невеликі t_client.sh очищення
• Ремонт - багатопроцесорне використання в FreeBSD для сокетів IPv4.
• Перезаписати розділ "Початкова сторінка" про --multihome
• Більше оновлень, пов'язаних з IPv6, до сторінки manifest openvpn.
• Умовніть виклики на print_default_gateway на! ENABLE_SMALL
• Підготовка до випуску v2.3.4 (ChangeLog, версія.m4)
• Використовуйте рідний strtoull () з MSVC 2013.
• Коли tls-version-min не вказано, поверніться до початкового підходу версії.
• Змініть підписність хешу в x509_get_sha1_hash (), виправляє попередження компілятора.
• Виправте OCSP_check.sh, щоб також використовувати десяткову для підтвердження stdout.
• Виправте систему збирання, щоб прийняти місця для бібліотек крипто-бібліотеки для плагінів.
• Зробіть експорт послідовного env-еквівалента в складі збірки OpenSSL і PolarSSL.
• Виправте вибір методу SOCKSv5
• Виправте помилку в сценарії збірки зразків для використання LDFLAGS

Що нового у версії 2.3.3:

• pkcs11: використовуйте загальний ключ evp замість rsa
• Додайте підтримку пристроїв utun під Mac OS X
• Додайте підтримку, щоб ігнорувати окремі параметри.
• Додайте примітку про вибір сетенів для OpenVPN & lt; 2.3.3
• Додайте звіт про версію інтерфейсу користувача до базового набору інформації про натискання псевдонімів.
• Виправлена ​​помилка компіляції в ssl_openssl, введена полярним зовнішнім патчем управління
• Виправте твердження, коли SIGUSR1 буде отримано, поки getaddrinfo буде успішним
• Додати попередження для використання змінних блоків підключення після з'єднання блоків
• Введіть перевірку безпеки для параметрів проксі-сервера http
• сторінка man: оновіть сторінку про tls_digest_ {n} змінну середовища
• Зніміть параметр configuredisable-eurephia
• плагін: розширення API модуля v3 для визначення реалізації SSL
• autoconf: виправити помилку
• Виправлення перевірки файлів, коли використовується chroot
• Авторизація документа для сервера носіїв
• Виправте приклади IPv6 у t_client.rc-sample
• Виправте повільне відключення пам'яті для кожного повторного переговорів клієнта.
• t_client.sh: ігноруйте поля з "ip -6 route show" & quot; які спотворюють результати.
• Зробити код та документацію для --remote-random-хоста узгоджено
• Скоротіть IV_OPENVPN_GUI_VERSION = до IV_GUI_VER =
• Випуск документа з використанням --chroot, / dev / urandom та PolarSSL.
• Перейменуйте "структуру маршруту" в "struct route_ipv4"
• Замініть скопійовані елементи структури за допомогою включення
• Помилка SSL_OP_NO_TICKET у попередніх версіях OpenSSL
• Завжди завантажувати проміжні сертифікати з файлу PKCS # 12
• Підтримка назв адаптерів не-ASCII TAP у Windows
• Підтримка не-ASCII-символів в шляху tmp Windows
• Переговори про версію TLS
• Додано & quot; setenv opt & quot; директивний префікс
• Встановіть прапорець SSL_OP_NO_TICKET у контексті SSL для зчитування OpenSSL, щоб вимкнути відновлення сеансу беззмістовних TLS.
• Виправте помилкове ігнорування параметрів push config (trac # 349).
• Refactor tls_ctx_use_external_private_key ()
• - управління-зовнішній ключ для PolarSSL
• external_pkcs1_sign: Підтримка non-RSA_SIG_RAW hash_ids
• Виправте текст помилки, якщо немає пристрою Windows TAP
• Необхідна версія 1.2.x PolarSSL
• tls_ctx_load_ca: Покращення повідомлень про помилки сертифікатів
• Видалити дублікати записів шифру з таблиці перекладу TLS.
• Виправте налаштування взаємодії з статичними бібліотеками OpenSSL
• Не передавайте struct tls_session * як void * у key_state_ssl_init ().
• Потрібні поляри> = 1.2.10 для polarssl-builds, які фіксують CVE-2013-5915.
• Використовуйте RSA_generate_key_ex () замість застарілих, RSA_generate_key ()
• Оновіть також дзвінки TLSv1_method () у коді підтримки до дзвінків SSLv23_method ().
• Оновіть повідомлення про помилку TLSv1 до SSLv23, щоб відобразити зміни з commit 4b67f98
• Якщо додається --tls-шифр, зробіть - show-tls проаналізуйте список.
• Додайте назви списку загальних шифрів для openssl до ssl.c.
• Додайте підтримку для client-cert-не потрібно для PolarSSL.
• Виправити & quot ;. & quot; в описі utun.

Що нового у версії 2.3.2:

• Лише друкуйте попередження сценарію, коли використовується скрипт. Видалити бродячу згадування системи сценаріїв.
• Перемістити параметри сценарію користувача в функцію set_user_script
• Перемістіть перевірку доступу до файла сценарію до set_user_script
• Надайте точне попередження
• Виправте помилку NULL-покажчика в route_list_add_vpn_gateway ().
• Виправлення проблеми з тунелюванням UDP через неправильно обрані структури pktinfo.
• Підготовка до v2.3.2 (ChangeLog, версія.m4)
• Завжди натискайте базовий набір значень рівної інформації на сервер.
• зробіть 'explicit-exit-notify' знову витягнутим
• Виправте proto tcp6 для режимів сервера та не-P2MP
• Виправлення виконання сценарію під час виклику з скриптів
• Виправлена ​​помилка перекладу tls-cipher у openssl-build
• Виправлено використання застарілого визначення USE_SSL до ENABLE_SSL
• Виправте segfault при включенні PF-плагінів

Що нового у версії 2.2.2:

• Тільки попередити про неполадки пакетів IPv6 один раз
• Додайте відсутню перерву між & quot; випадку IPv4 & quot; і "випадку IPv6", що веде до
• Версія драйверів від крадіжки з 9,8 до 9,9
• Повідомити про помилку та вийти з режиму "win32, tun mode", торкніться драйвера версії 9.8 & quot;
• Відновлені пов'язані з pkcs11 частини розділу 7a8d707237bb18 до 2.2 філії

Що нового у версії 2.2.2:

• Попереджати про пакети IPv6, / li>

Що нового в версії 2.2 бета-версія 5:

• Виправлена ​​проблема, Студія 2008 року.

Що нового у версії 2.1.4:

• Виправте проблему з цільовими маршрутами спеціальних випадків ('remote_host ')
• Функція init_route () залишить & netlist недоторканими для get_special_addr () маршрутів (& quot; remote_host & quot; є одним з них).
• netlist знаходиться на стекі, містить випадковий смітник, а netlist.len не буде 0 - таким чином, дані випадкових стеків копіюються з netlist.data [], доки маршрут_list не буде заповнено.

Що нового у версії 2.1:

• Проблема безпеки Windows:
• Виправлена ​​потенційна локальна привілеї, яка посилює ефект у службі Windows. Служба Windows не належним чином посилалася на назву виконуваного файлу, переданого на CreateService. Місцевий зловмисник із доступом до кореневого каталогу C: може створити виконуваний файл, який буде працювати з тими ж рівнями привілеїв, що і служба OpenVPN Windows. Однак оскільки не адміністративні користувачі, як правило, не мають права на запис у C: , ця вразливість, як правило, не використовується, крім старих версій Windows (наприклад, Win2K), де дозволи за замовчуванням на C: дозволять будь-якому користувачеві створювати там файли.
• Кредит:
• Скотт Лорі, MWR InfoSecurity
• Додана на основі Python альтернативна система побудови для Windows за допомогою Visual Studio 2008 (у каталозі виграшу).
• При перериванні нечистотним способом спробуйте виконати do_close_tun в init.c перед виходом daemon, щоб переконатися, що інтерфейс tun / tap є закритий, і всі додані маршрути видаляються.
• Виправлено проблему, в якій AUTH_FAILED не надсилається клієнту належним чином, коли для неправильного пароля надається повторний перехід середнього сеансу, що призвело до того, що з'єднання не завершиться без індикації помилки.
• Не переходьте до наступного профілю з'єднання з помилками AUTH_FAILED.
• Виправлено проблему в інтерфейсі керування, яка може спричинити зависання процесу із використанням процесора на 100% в режимі керування-клієнт, якщо клієнт-інтерфейс клієнта відключений у точці, в якій запитуються облікові дані.
• Виправлено проблему, де, якщо для клієнта був встановлений значення 0 для reneg-sec, для того, щоб значення на стороні сервера було пріоритетним, функція auth_deferred_expire_window неправильно повертала період вікна 0 секунд. У цьому випадку вірний період вікна повинен бути періодом вікна рукостискання.
• Модифікований & quot; & gt; ПАРОЛЬ: перевірка не вдалася & quot; Повідомлення про керування інтерфейсом, щоб включити рядок причини клієнта:
• & gt; ПАРОЛЬ: перевірка не вдалася:
• 'AUTH_TYPE' ['REASON_STRING']
• Включити експоненціальне віддалене відновлення в надійності шар повторно.
• Встановлюйте буфер сокетів (SO_SNDBUF і SO_RCVBUF) відразу після створення сокету, а не чекайте, доки не підключіться / не слухайте.
• Оптимізація продуктивності інтерфейсу керування:
• 1. Додана команда env-filter MI для виконання фільтрування за допомогою env vars, переданої як частина --management-client-auth 2. Тепер man_write спробує агрегувати висновок у більші блоки (до 1024 байтів) для більш ефективного введення / виводу
• Виправлена ​​незначна проблема в драйвері Windows TAP DEBUG складається там, де неправильно надруковано рядки з унікальним символом, що закінчуються нулем.
• Виправлена ​​проблема в Windows з компілятором MSVC, де не було скомпільовано підтримку TCP_NODELAY.
• Поліпшення проксі:
• Покращено можливість http-auth & quot; автоматичного & quot; прапорець, щоб динамічно виявляти метод auth, потрібний проксі. Додано http-auth & quot; auto-nct & quot; прапорець для відхилення слабких методів перевірки авторизації. Додано HTTP-протокол дайджест-методу аутентифікації. Видалено сторонні дзвінки openvpn_sleep з proxy.c.
• Впроваджено директиви з http-proxy-override та http-proxy-replacement для полегшення для користувацьких інтерфейсів клієнтів OpenVPN, щоб запустити попередньо встановлений файл конфігурації клієнта з параметрами проксі-сервера або адаптивно повернутися до проксі-сервера, якщо пряме підключення не вдається.
• Впроваджено канал авторизації ключ / значення з клієнта на сервер.
• Виправлена ​​проблема, коли погані кредити, надані інтерфейсом керування основною автентифікацією HTTP Proxy, перейдуть у нескінченну циклі спроби повторити спроби, замість того, щоб вимагати інтерфейс керування для нових кредитів.
• Додана підтримка MSVC для налагодження openvpn.exe у налаштуваннях:
• # Виконайте версію виправлення openvpn.exe! визначте PRODUCT_OPENVPN_DEBUG
• Впроваджено розширення багатосторінкового DNS у мережевому полі команд маршруту. Якщо з багатоадресної розширення DNS потрібна лише одна IP-адреса, скористайтеся першою адресою, а не випадковим вибором.
• Додано параметр --register-dns для Windows. Виправлено деякі проблеми на Windows з використанням --log, створення підпроцесу для виконання команди та перенаправлення stdout / stderr.
• Виправлено проблему, в якій може бути скинуто передачу корисної завантаження додатка в каналі керування TLS (наприклад, AUTH_FAILED), які виникають під час або відразу після повторної перепису TLS.
• Додано попередження про параметр tls-remote на сторінці man.