OpenVPN

OpenVPN is 'n open source, volledige Skynprivaatnetwerk-oplossing, ondersteun deur SSL (Secure Sockets Layer) en ontwerp om 'n wye verskeidenheid van OpenVPN-bedienerfunksies te akkommodeer, insluitende webwerf-na-VPN'e toegang en Wi-Fi sekuriteit.

Dit kan ook gebruik word om toegangsoplossings vir ondernemingskale te implementeer met failover, fynkorreerde toegangsbeheer, en lasbalansering, asook vereenvoudigde OpenVPN Connect UI en OpenVPN Client-toepassings vir 'n wye verskeidenheid bedryfstelsels.

/ p>
Implementeer beide OSI laag 2 en 3 veilige netwerk uitbreidings

Die projek implementeer beide OSI laag 2 en 3 veilige netwerk uitbreidings, met behulp van die TLS (Transport Layer Security) en SSL (Secure Sockets Layer) protokolle. Dit is verenigbaar met die GNU / Linux, Mac OS X, Android, IOS en Microsoft Windows OSes.

OpenVPN is ontwerp om te ondersteun buigsame kliënt verifikasie metodes gebaseer op sertifikate, twee-faktor verifikasie, en smart cards. Hou in gedagte dat dit nie 'n webprogrammagent is nie en dit werk nie deur 'n webblaaier nie.

Daarbenewens is die OpenVPN Access Server ontwerp om 'n verskeidenheid konfigurasies te ondersteun, insluitende korrele en veilige afgeleë toegang tot interne netwerkdienste, asook privaatwolknetwerkprogramme en -bronne, terwyl dit baie akkurate beheer bied.

Baie klein en mediumgrootte besighede het gekies om die OpenVPN te gebruik om hul werknemers met eksterne verbindingsondersteuning vir die werk van die huis of in die buiteland te voorsien.

Terwyl die projek eintlik 'n daemon-diens is wat op die agtergrond loop en slegs toegang kan verkry via 'n X11-terminale emulator of die Linux-konsole, bestaan ​​daar 'n wye verskeidenheid GUI (Grafiese gebruikerskoppelvlak) voor-eindes, wat die einde toelaat -gebruikers om maklik te koppel aan 'n spesifieke OpenVPN-bediener met vooraf gedefinieerde konfigurasie lêers.

OpenVPN is in die geheel 'n goeie, oop bron en gratis alternatief vir soortgelyke, maar eie of moeilik om VPN oplossings te implementeer, soos L2TP (Layer 2 Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol) en IPsec (Internet Protocol Security).

Wat is nuut in hierdie weergawe:

• Dawid Sommerseth (1):
• Bestuur: Waarsku as TCP-poort sonder wagwoord gebruik word
• Gert Doering (3):
• Korrekte weergawe in ChangeLog - moet 2.4.5 wees, is foutief as 2.4.4
• Oplossing van potensiële dubbelvrye () in interaktiewe diens (CVE-2018-9336)
• maak vrystelling v2.4.6 (ChangeLog, version.m4, Changes.rst)
• Gert van Dijk (1):
• manpage: verbeter beskrywing van - status en - status-weergawe
• Joost Rijneveld (1):
• Maak retourkode eksterne tls sleutelstempel dokumente
• Selva Nair (3):
• Verwyder die IPv6-roete na die "gekoppelde" netwerk op tun naby
• Bestuur: Waarsku slegs oor wagwoord wanneer die opsie gebruik word
• Vermy oorloop in wakeuptydberekening
• Simon Matter (1):
• Add missing #ifdef SSL_OP_NO_TLSv1_1 / 2
• Steffan Karger (1):
• Gaan na meer data in beheerskanaal

Wat is nuut in weergawe:

• Antonio Quartulli (1):
• Negeer auth-nocache vir outeur-gebruikerspas as outo-token gedruk word
• David Sommerseth (3):
• crypto: aktiveer SHA256 vingerafdruk kontrole in - verifieer-hash
• kopiereg: Opdateer GPLv2-lisensie tekste
• outo-token met auth-nocache herstel gebreek - disable-crypto builds
• Emmanuel Deloget (8):
• OpenSSL: gebruik nie direkte toegang tot die interne van X509
• OpenSSL: gebruik nie direkte toegang tot die interne van EVP_PKEY
• OpenSSL: gebruik nie direkte toegang tot die interne van RSA nie
• OpenSSL: gebruik nie direkte toegang tot die interne van DSA
• OpenSSL: dwing met-> naam as nie-konst wanneer ons gratis () dit
vrystel
• OpenSSL: gebruik nie direkte toegang tot die interne van EVP_MD_CTX
• OpenSSL: gebruik nie direkte toegang tot die interne van EVP_CIPHER_CTX
• OpenSSL: gebruik nie direkte toegang tot die interne van HMAC_CTX
• Gert Doering (6):
• Oplossing van NCP op TLS heraansluit.
• Verwyder foutiewe beperking op maksimum aantal args vir - plugin
• Fix rand geval met kliënte wat nie op 'n leë PUSH_REPLY opstel nie.
• Bevestig potensiële 1-byte oorlaai in TCP opsie parsering.
• Bevestig-oproepbare ASSERT () op wanvormde IPv6-pakkie.
• Voorbereiding vir weergawe v2.4.3 (ChangeLog, version.m4, Changes.rst)
• Guido Vranken (6):
• refactor my_strupr
• Fix 2 geheue lekkasies in proxy verifikasie roetine
• Herstel lek in add_option () vir opsie 'verbinding'
• Maak seker dat opsie skikking p [] altyd NULL beëindig word
• Bevestig 'n nulpuntwyser in establish_http_proxy_passthru ()
• Voorkom twee soorte stapelbuffer OOB lees en 'n ongeluk vir ongeldige insetdata
• Jeremie Courreges-Anglas (2):
• Bevestig 'n ongeïdentifiseerde toegang op OpenBSD / sparc64
• Ontbrekend sluit in socket-flags TCP_NODELAY op OpenBSD
• Matthias Andree (1):
• Maak openvpn-plugin.h selfstandig weer.
• Selva Nair (1):
• Slaag die korrekte buffer grootte na GetModuleFileNameW ()
• Steffan Karger (11):
• Teken die onderhandelde (NCP) kode
• Vermy 'n 1 byte oorkopie in x509_get_subject (ssl_verify_openssl.c)
• Slaag tls-crypte eenheid toetse indien nodig crypto af nie ondersteun nie
• openssl: regstel oorloop kontrole vir lang-tls-cipher opsie
• Voeg 'n DSA toets sleutel / sert paar by voorbeeld sleutels
• Fix mbedtls vingerafdrukberekening
• mbedtls: fix -x509-track na-verifikasie remote DoS (CVE-2017-7522)
• mbedtls: benodig C-string compatible tipes vir -x509-gebruikersnaam-veld
• Bevestig geheue lekkasies op afstand (CVE-2017-7521)
• Beperk - x509-alt-gebruikersnaam uitbreidings tipes
• Bevestig potensiële dubbelvrye in -x509-alt-gebruikersnaam (CVE-2017-7521)
• Steven McDonald (1):
• Fix gateway Deteksie met OpenBSD routing domains

Wat is nuut in weergawe 2.4.2:

• outo-token: Maak seker dat tokens altyd op de-auth uitgevee word
• dokumente: Vaste man bladsy waarskuwings ontdek deur rpmlint
• Maak nie meer duidelik oor die risiko's
• plugin: Fix dokumentasie tik vir tipe_masjien
• plugin: Voer secure_memzero () na invoegtoepassingen uit
• Herstel extract_x509_field_ssl vir eksterne voorwerpe, v2
• In die auth-pam-plugin maak u die wagwoord skoon na gebruik
• opruiming: voeg packet_id_alloc_outgoing () in packet_id_write ()
• Moenie packet_id-eenheidstoetse uitvoer vir - disable-crypto builds
• Fix Changes.rst layout
• Herstel lek in x509_verify_cert_ku ()
• mbedtls: korrigeer die terugkeerwaarde korrek in pkcs11_certificate_dn ()
• Herstel parameters vir die NCP-raamwerk vir nuwe sessies
• Maak altyd gebruikersnaam / wagwoord uit geheue op foute skoon
• Sekuriteitsoorwegings van tls-kripte op manblad
• Wees nie aanspreeklik vir die ontvangs van te groot beheer pakkies (CVE-2017-7478)
• Verpak pakkies in plaas van uit te vind of pakkie-ID oorrol (CVE-2017-7479)
• Stel 'n lae koppelvlak metrieke vir kraanadapter wanneer blok buite-DNS gebruik word

Wat is nuut in weergawe 2.4.1:

• Antonio Quartulli (4):
• probeer IPv6-roete by te voeg selfs wanneer geen IPv6-adres gekonfigureer is nie
• herstel herleiding-gateway gedrag wanneer 'n IPv4 standaard roete nie bestaan ​​nie
• CRL: gebruik tyd_t in plaas van strukture om die laaste tyd te stoor
• As u 'n numeriese gasheer verskaf,
ignoreer die ewekansige wagwoordnaam
• Christian Hesse (7):
• man: herstel formatering vir alternatiewe opsie
• systemd: Gebruik outomatiese gereedskap om eenheidslêers te installeer
• systemd: Moenie op RuntimeDirectory wedren nie
• systemd: Voeg meer sekuriteit funksie by systemd eenhede toe
• Skakel plasing van plakkate op
• plugin: Verwyder GNUism in openvpn-plugin.h generasie
• Tik tik in kennisgewingboodskap
• David Sommerseth (6):
• bestuur:> REMOTE-operasie sal oorskakel-aanwyser
vervang
• Bestuur: Verwyder 'n oortollige #ifdef blok
• git: voeg. Gitignore lêers in 'n enkele lêer
• systemd: Beweeg die READY = 1 sein na 'n vroeër punt
• plugin: Verbeter die hantering van die standaard plug-in gids
• opruiming: verwyder foutiewe env-verwerkingsfunksies
• Emmanuel Deloget (8):
• OpenSSL: kyk na die SSL-rede, nie die volledige fout nie
• OpenSSL: gebruik nie direkte toegang tot die interne van X509_STORE_CTX
• OpenSSL: gebruik nie direkte toegang tot die interne van SSL_CTX
• OpenSSL: gebruik nie direkte toegang tot die interne van X509_STORE
• OpenSSL: gebruik nie direkte toegang tot die interne van X509_OBJECT
• OpenSSL: gebruik nie direkte toegang tot die interne van RSA_METHOD
• OpenSSL: SSLeay simbole is nie meer beskikbaar in OpenSSL 1.1
• OpenSSL: gebruik EVP_CipherInit_ex () in plaas van EVP_CipherInit ()
• Eric Thorpe (1):
• Fix Building met MSVC
• Gert Doering (5):
• Voeg openssl_compat.h by openvpn_SOURCES
• Fix '--dev null'
• Fix installasie van IPv6-gasheer roete na VPN-bediener wanneer u diens gebruik.
• Maak ENABLE_OCC nie meer afhanklik van! ENABLE_SMALL
• Voorbereiding vir vrystelling v2.4.1 (ChangeLog, version.m4)
• Gisle Vanem (1):
• Crash in options.c
• Ilya Shipitsin (2):
• Los verskeie travis-ci-probleme op
• travis-ci: verwyder ongebruikte lêers
• Olivier Wahrenberger (1):
• Bevestig die bou van LibreSSL 2.5.1 deur 'n hack skoon te maak.
• Selva Nair (4):
• Fix push opsies verteer update
• Maak altyd dhcp-adres vry in close_tun () op Windows.
• Voeg 'n tjek vir -Wl, - wrap ondersteuning in linker
• Verifieer gebruikers se lidmaatskapkontrolering in interaktiewe diens om met domeine te werk
• Simon Matter (1):
• Stel segfault by die gebruik van crypto lib sonder AES-256-Deurkliektempo of SHA256
• Steffan Karger (8):
• Breër Allman-styl en breëbande-om-voorwaardelike afbreuk doen
• Gebruik SHA256 vir interne vertering, in plaas van MD5
• OpenSSL: 1.1 uitval - herstel konfigurasie op ou outoconf
• Stel tipes in WIN32 socket_listen_accept ()
• Verwyder duplikaat X509 env veranderlikes
• Fix non-C99-compliant builds: gebruik const size_t nie as array lengte
• Deprecate -ns-cert-type
• Wees minder kieskeurig oor keyUsage uitbreidings

Wat is nuut in weergawe 2.4.0:

• Christian Hesse (1):
• Werk jaar in kopiereg boodskap
• David Sommerseth (2):
• man: Verbeter die --keepalive afdeling
• Dokumenteer die -auth-token opsie
• Gert Doering (3):
• Herstel topologie-subnet op FreeBSD 11
• Herstel topologie-subnet op OpenBSD
• Voorbereiding van die vrylating van v2.3.14
• Lev Stipakov (1):
• Pak rekursiewe pakkette terug
• Selva Nair (4):
• Ondersteuning - blok-buite-DNS op verskeie tonnels
• As u 'parsing' --seet kies xx .. 'maak seker dat 'n derde parameter teenwoordig is
• Kaart herlaai seine vanaf gebeurtenislus na SIGTERM tydens uittrede-kennisgewing wag
• Gee die standaard dhcp-bediener adres op man bladsy korrek aan
• Steffan Karger (1):
• Maak format_hex_ex () skoon

Wat is nuut in weergawe 2.3.9:

• Arne Schwabe (2):
• Rapporteer ontbrekende endtags van inline-lêers as waarskuwings
• Bevestig e473b7c indien 'n inlynlêer 'n lynbreuk presies by bufferlimiet het
• Gert Doering (3):
• Lewer 'n betekenisvolle foutboodskap as - Daemon in die pad is om wagwoorde te vra.
• Dokument - daagse veranderinge en gevolge (--pas, --auth-nocache).
• Voorbereiding vir vrystelling v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Deel ipv6 addr naby Linux-koppelvlak
• James Geboski (1):
• Fix - pas nie toe vir die invoer van wagwoorde via stdin
• Steffan Karger (5):
• skryf pid-lêer onmiddellik na demontering
• Werk __func__ ook met Visual Studio
• regressie regstel: navraag wagwoord voordat daemon word
• Maak gebruik van die bestuurskoppelvlak om wagwoorde te kry.
• Bevestig oorloop tjek in openvpn_decrypt ()

Wat is nuut in weergawe 2.3.8:

• Arne Schwabe (2):
• Rapporteer ontbrekende endtags van inline-lêers as waarskuwings
• Bevestig e473b7c indien 'n inlynlêer 'n lynbreuk presies by bufferlimiet het
• Gert Doering (3):
• Lewer 'n betekenisvolle foutboodskap as - Daemon in die pad is om wagwoorde te vra.
• Dokument - daagse veranderinge en gevolge (--pas, --auth-nocache).
• Voorbereiding vir vrystelling v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Deel ipv6 addr naby Linux-koppelvlak
• James Geboski (1):
• Fix - pas nie toe vir die invoer van wagwoorde via stdin
• Steffan Karger (5):
• skryf pid-lêer onmiddellik na demontering
• Werk __func__ ook met Visual Studio
• regressie regstel: navraag wagwoord voordat daemon word
• Maak gebruik van die bestuurskoppelvlak om wagwoorde te kry.
• Bevestig oorloop tjek in openvpn_decrypt ()

Wat is nuut in weergawe 2.3.6:

• Andris Kalnozols (2):
• Maak 'n paar tipes op die manblad.
• Verskaf nie x509-gebruikersnaam-veld vir gemengde geval argumente.
• Arne Schwabe (1):
• Oplosser bedienerroetes wat nie in topologie-subnet werk met - bediener [v3]
• David Sommerseth (4):
• Verbeter foutverslagdoening oor lêer toegang tot --client-config-dir en --ccd-exclusive
• Moenie openvpn_popen laat nie () hou zombies rond
• Voeg unit unit lêer vir OpenVPN by
• systemd: Gebruik systemd-funksies om stelselbeskikbaarheid te oorweeg
• Gert Doering (4):
• Inkomende fe80: pakke nou stil.
• Fix t_lpback.sh platform afhanklike mislukkings
• Oproep aanvanklike script helpers met eksplisiete pad (./)
• Voorbereiding vir weergawe v2.3.5 (ChangeLog, version.m4)
• Heiko Hund (1):
• Verduidelik stelling om ander wyses as CBC toe te laat
• Hubert Kario (2):
• ocsp_check - handtekening verifikasie en sertifisering resultate is apart
• ocsp_check - dubbel seker of ocsp geen foute in die uitvoering het aangemeld
• James Bekkema (1):
• Fix socket-flag / TCP_NODELAY op Mac OS X
• James Yonan (6):
• Bevestig verskeie gevalle van verklarings na stellings.
• In socket.c, 'n vaste probleem waar die geinitialiseerde waarde (fout) aan gai_strerror oorgedra word.
• Dui die derde parameter van setsockopt tot const void * om die waarskuwing te voorkom.
• MSVC 2008 ondersteun nie die dimensie van 'n skikking met 'n const var of gebruik% z as 'n printf-formaat spesifiseerder nie.
• Definieer PATH_SEPARATOR vir MSVC-geboue.
• Vaste sommige stel probleme saam met show_library_versions ()
• Jann Horn (1):
• Verwyder kwadratiese kompleksiteit van openvpn_base64_decode ()
• Mike Gilbert (1):
• Konfigureer tjek vir die pad na systemd-vra-wagwoord
• Philipp Hagemeister (2):
• Voeg topologie by in konfigurasielêer van steekproef
• Implementeer roete byvoeg vir iproute2
• Samuel Thibault (1):
• Maak seker dat lêers met kliënt verbind word altyd verwyder
• Steffan Karger (13):
• Verwyder funksie sonder effek (cipher_ok () altyd teruggekeer waar).
• Verwyder onnodige wrapper funksies in crypto_openssl.c
• Regstel fout wat foutiewe weiering van eku's in polêre boue weier.
• Update README.polarssl
• Hernoem ALLOW_NON_CBC_CIPHERS na ENABLE_OFB_CFB_MODE, en voeg by om te konfigureer.
• Voeg behoorlike tjek vir kripto modusse (CBC of OFB / CFB) by
• Verbeter - wys cifre om te wys of 'n kodering in statiese sleutel modus gebruik kan word
• Voer t_lpback toetse uit om alle kodes wat gerapporteer word deur --show-ciphers
te toets.
• Moenie daemon verlaat as die CRL misluk of oopmaak of ontleed nie.
• Tik tik in cipher_kt_mode_ (cbc, ofb_cfb) () doxygen.
• Regressie regmaak met privaat sleutels vir wagwoorde (polarssl).
• ssl_polarssl.c: regstel sluit en maak eksplisiete uit
• Verwyder ongebruikte veranderlikes uit ssl_verify_openssl.c extract_x509_extension ()
• TDivine (1):
• Fix "kode = 995" fout met Windows NDIS6 kraanbestuurder.

Wat is nuut in weergawe 2.3.4:

• Man-bladsy en OSCP-script regstel: tls_serial_ {n} is desimale
• Fix is_ipv6 in geval van kraan koppelvlak.
• IPv6-adres / roete verwyder vir Win8
• Voeg verslag oor SSL-biblioteekweergawe by.
• Minder t_client.sh opruimings
• Herstel - veelvoud op FreeBSD vir IPv4 voetstukke.
• Herskryf manpage afdeling oor - veelvoudige
• Meer IPv6-verwante opdaterings van die openvpn-manblad.
• Voorskakel oproepe na print_default_gateway op! ENABLE_SMALL
• Voorbereiding vir vrystelling v2.3.4 (ChangeLog, version.m4)
• Gebruik native strtoull () met MSVC 2013.
• As tls-version-min ongespesifiseerde is, gaan terug na die oorspronklike weergawe-benadering.
• Verander ondertekening van hash in x509_get_sha1_hash (), stel die waarskuwing van die samesteller reg.
• Fix OCSP_check.sh om ook desimale vir verifikasie te gebruik.
• Bevestig die boustelsel om nie-stelsel-kripto-biblioteeklocaties vir plugins te aanvaar.
• Maak seriële env-uitvoer konsekwent onder OpenSSL en PolarSSL bou.
• Fix SOCKSv5-metode seleksie
• Tik tik in die voorbeeld-bou-script om LDFLAGS te gebruik

Wat is nuut in weergawe 2.3.3:

• pkcs11: gebruik generiese evp sleutel in plaas van rsa
• Ondersteuning van outun-toestelle onder Mac OS X byvoeg
• Voeg ondersteuning by om spesifieke opsies te ignoreer.
• Voeg 'n nota by wat setenv opt vir OpenVPN & lt; 2.3.3
• Voeg verslaggewing van die UI-weergawe by die basiese push-peer-info-stel.
• Stel 'n fout op in ssl_openssl, ingestel deur die polêre eksterne bestuurspatroon.
• Bevestig bewering wanneer SIGUSR1 ontvang word terwyl getaddrinfo suksesvol is
• Voeg waarskuwing by vir die gebruik van verbindingsblok veranderlikes na verbindingsblokke
• Stel veiligheidskontrole vir http-proxyopsies voor
• man bladsy: Update man bladsy oor die omgewing variabele tls_digest_
• Verwyder die opsie --disable-eurephia configure
• plugin: Voer die invoegtoepassing v3 API uit om die gebruik van SSL-implementering te identifiseer
• outoconf: Tik typo
• Bevestig lêer kontrole wanneer: --chroot gebruik word
• Dokument outfile vir sokkies bediener
• Fix IPv6-voorbeelde in t_client.rc-voorbeeld
• Herhaal langtermynherinnering op elke heronderhandeling van kliënte.
• t_client.sh: ignoreer velde van 'ip -6 roete vertoning' uitset wat resultate verdraai.
• Maak kode en dokumentasie vir -remot-willekeurige gasheernaam konsekwent.
• Verminder IV_OPENVPN_GUI_VERSION = na IV_GUI_VER =
• Dokument probleem met --chroot, / dev / urandom en PolarSSL.
• Hernoem 'struktuurroete' na 'struktuurroete_ipv4'
• Vervang gekopieerde struktuurelemente met insluitend
• Oplossing ontbreek SSL_OP_NO_TICKET in vorige OpenSSL weergawes
• Laai intermediêre sertifikate altyd vanaf 'n PKCS # 12-lêer
• Ondersteun nie-ASCII-TAP-adapter name op Windows
• Ondersteun nie-ASCII karakters in Windows Tmp-pad
• Onderhandeling van TLS-weergawe
• Bygevoeg 'setenv opt' riglyne voorvoegsel.
• Stel SSL_OP_NO_TICKET-vlag in SSL-konteks vir OpenSSL-geboue om TLS-staatlose sessie hervatting uit te skakel.
• Bevestig verkeerde ignoreer van gestoot konfigurasie opsies (trac # 349).
• Refactor tls_ctx_use_external_private_key ()
• - Bestuur-eksterne sleutel vir PolarSSL
• external_pkcs1_sign: Ondersteun nie-RSA_SIG_RAW hash_ids
• Korrekte fout teks as daar geen Windows TAP-toestel teenwoordig is nie
• Vereis 'n 1.2.x PolarSSL weergawe
• tls_ctx_load_ca: Verbeter foutboodskappe van sertifikate
• Verwyder duplikaat-kodeinskrywings van TLS-vertaaltabel.
• Bevestig interaksie met statiese OpenSSL-biblioteke
• Moenie struktuur tls_session * as ongeldig * in sleutel_state_ssl_init ().
• Vereis polarssl> = 1.2.10 vir polarssl-builds, wat CVE-2013-5915 regstel.
• Gebruik RSA_generate_key_ex () in plaas van afgekeur, RSA_generate_key ()
• Opdateer ook TLSv1_method () oproepe in ondersteuningskode na SSLv23_method () oproepe.
• Update TLSv1-foutboodskappe na SSLv23 om veranderinge van commit 4b67f98 te weerspieël
• As -tls-cipher verskaf word, maak - wys-tls die lys ontleed.
• Voeg oopgespesifieke algemene lyslyste by na ssl.c.
• Voeg ondersteuning vir kliënt-sert-nie-vereiste vir PolarSSL.
• Fix "." in beskrywing van utun.

Wat is nuut in weergawe 2.3.2:

• Druk slegs skrip waarskuwings wanneer 'n skrip gebruik word. Verwyder verwydering van die script-sekuriteitstelsel.
• Skuif instellings van gebruikers skrif na set_user_script funksie
• Kontroleer die toegang tot die script lêer in set_user_script
• Gee meer akkurate waarskuwing
• Herstel NULL-aanwyser in roete_list_add_vpn_gateway ().
• Probleme oplos met UDP-tunneling weens mishandled pktinfo strukture.
• Voorbereiding vir v2.3.2 (ChangeLog, version.m4)
• Druk altyd die basiese stel eweknie-inligtingwaardes na die bediener.
• maak 'explicitly-exit-notify' weer trekbaar
• Fix proto tcp6 vir bediener en nie-P2MP modi
• Vereis die uitvoering van die Windows-script wanneer dit van skripkoeke geroep word
• Vaste tls-cipher vertaal fout in openssl-build
• Vaste gebruik van ouer definieer USE_SSL na ENABLE_SSL
• Bevestig sigfault wanneer pf-invoegtoepassings aktiveer

Wat is nuut in weergawe 2.2.2:

• Wees slegs een keer per ongeluk aangespreek IPv6-pakkies
• Voeg ontbrekende breek tussen "geval IPv4" en "geval IPv6", wat lei tot die
• Bump-kraanbestuurder weergawe van 9.8 tot 9.9
• Log foutboodskap en verlaat vir "win32, tun modus, kraanbestuurder weergawe 9.8"
• Backported pkcs11-verwante dele van 7a8d707237bb18 tot 2.2 tak

Wat is nuut in weergawe 2.2.2:

• Waarsku slegs oor eenmalige IPv6-pakkies een keer

Wat is nuut in weergawe 2.2 Beta 5:

• Studio 2008.

Wat is nuut in weergawe 2.1.4:

• Probleme oplos met spesiale gevalroete teikens ('remote_host ')
• Die funksie init_route () laat & netlist onaangeraak vir get_special_addr () roetes ("remote_host" is een van hulle).
• netlist is op stapel, bevat willekeurige vullis en netlist.len sal nie 0 wees nie - dus word willekeurige stapel data gekopieer vanaf netlist.data [] totdat die roete_lys vol is.

Wat is nuut in weergawe 2.1:

• Windows sekuriteit probleem:
• Vaste potensiaal-uitbreiding kwesbaarheid in Windows-diens. Die Windows-diens het nie die uitvoerbare lêernaam korrek aangehaal nie. 'N Plaaslike aanvaller met skryf toegang tot die hoofmap C: kan 'n uitvoerbare weergawe skep wat met dieselfde voorregvlak as die OpenVPN Windows-diens uitgevoer sal word. Aangesien nie-administratiewe gebruikers normaalweg nie skryf toestemming het op C: , is hierdie kwesbaarheid gewoonlik nie uitbuitbaar nie, behalwe op ouer weergawes van Windows (soos Win2K) waar die verstektoestemmings op C: enige gebruiker toelaat om lêers daar te skep.
• Krediet:
• Scott Laurie, MWR InfoSecurity
• Bygevoeg op basis van 'n alternatief gebou op basis van Python op basis van Windows, met Visual Studio 2008 (in win-gids).
• Wanneer u op 'n nie-grasieuse manier afbreuk doen, probeer do_close_tun in init.c voor daemonuitgang uit te voer om te verseker dat die tonnel / tik koppelvlak gesluit is en enige verdere roetes uitgevee word.
• Daar is 'n probleem opgelos waar AUTH_FAILED nie behoorlik aan die kliënt gelewer is nie, wanneer 'n slegte wagwoord gegee word vir mid-session reauth, wat veroorsaak dat die verbinding misluk sonder 'n foutaanwysing.
• Moenie na die volgende aansluitprofiel op AUTH_FAILED foute beweeg nie.
• 'n probleem in die bestuursinterface opgelos wat kan veroorsaak dat 'n proses met 100% CPU-benutting in die bestuur-kliënt af hang as die bestuurskoppelvlakkliënt ontkoppel word by die punt waar geloofsoortuigings gevra word.
• Daar is 'n probleem opgelos waar as reneg-sec op die kliënt ingestel was op 0, sodat die waarde van die bediener-kant voorrang sou hê, sou die auth_deferred_expire_window-funksie foutief 'n vensterperiode van 0 sekondes teruggee. In hierdie geval moet die korrekte vensterperiode die handshake-vensterperiode wees.
• Gewysig "> PASSWORD: Verifikasie misluk" bestuurskoppelvlakkennisgewing om 'n kliënt se rede-string in te sluit:
• > PASSWORD: Verifikasie misluk:
• 'AUTH_TYPE' ['REASON_STRING']
• Aktiveer eksponensiële terugslag in betroubare laag heruitsendings.
• Stel sokbuffers (SO_SNDBUF en SO_RCVBUF) onmiddellik nadat die socket geskep is eerder as om te wag tot na die verbinding / luister.
• Optimerings vir optimalisering van bestuursinterface:
• 1. Env-filter MI-opdrag gevoeg om filter op env vars deur te voer as deel van --management-client-auth 2. man_write sal nou probeer om die uitset in groter blokke (tot 1024 grepe) in te samel vir meer doeltreffende i / o
• Vaste klein probleem in Windows TAP-bestuurder DEBUG bou waar nie-nul-beëindigde Unicode-snare verkeerd gedruk is.
• Vaste probleem op Windows met MSVC samesteller, waar TCP_NODELAY ondersteuning nie saamgestel is nie.
• Proxy verbeterings:
• Verbeter die vermoë van http-outeur "outomaties" vlag om die outo-metode wat deur die proxy vereis word, dinamies op te spoor. Bygevoeg http-outeur "outomaties-nct" vlag om swak proxy auth metodes te verwerp. Bygevoeg HTTP proxy verteer verifikasie metode. Uitwendige openvpn_sleep-oproepe van proxy.c verwyder.
• Implementeer riglyne vir die vervanging van proxy-opsies en http-proxy-terugbetalings om dit makliker te maak vir UI's van OpenVPN-kliente om 'n vooraf bestaande kliëntkonfigurasie-lêer met proxy-opsies te begin of om adaptief terug te val na 'n proxy-verbinding as 'n direkte verbinding versuim.
• Implementeer 'n sleutel / waarde outf kanaal van kliënt na bediener.
• Vaste kwessie waar slegte krediete wat deur die bestuurs koppelvlak vir HTTP Proxy Basiese Verifikasie verskaf word, in 'n oneindige retriever-lus loop gaan in plaas daarvan om die bestuurs koppelvlak vir nuwe krediete te vereis.
• Bygevoeg ondersteuning vir MSVC ontfouting van openvpn.exe in settings.in:
• # Bou debugging weergawe van openvpn.exe! definieer PRODUCT_OPENVPN_DEBUG
• Implementeer multi-adres DNS uitbreiding in die netwerk veld van roete opdragte. As slegs 'n enkele IP-adres van 'n multi-adres DNS-uitbreiding verlang word, gebruik die eerste adres eerder as 'n ewekansige seleksie.
• Bygevoeg - register-dns opsie vir Windows. Vaste probleme op Windows met --log, subproses skep vir opdraguitvoering en stdout / stderr redirection.
• Daar is 'n probleem opgelos waar die oorplasing van die aansoeklading op die TLS-beheerkanaal (soos AUTH_FAILED) wat plaasvind gedurende of onmiddellik nadat 'n TLS-heronderhandeling afgekeur is.
• Bygevoeg waarskuwing oor die opsie tls-remote op manblad.