OpenVPN

Ang OpenVPN ay isang bukas na mapagkukunan, ganap na tampok na solusyon ng VPN na na-back sa pamamagitan ng SSL (Secure Sockets Layer) at idinisenyo upang mapaunlakan ang malawak na hanay ng pag-andar ng OpenVPN server, kabilang ang site-to-site na VPN, remote access, at seguridad sa Wi-Fi.

Maaari rin itong magamit upang maipatupad ang mga solusyon sa remote access ng enterprise na may failover, pinong-grained access-control, at load balancing, pati na rin ang pinadali ng OpenVPN Connect UI at mga aplikasyon ng OpenVPN Client para sa malawak na hanay ng mga operating system.

Ang proyekto ay nagpapatupad ng parehong OSI layer 2 at 3 secure na mga extension ng network, gamit ang standard na industriya TLS (Transport Layer Security) at SSL (Secure Sockets Layer) na mga protocol. Ito ay katugma sa GNU / Linux, Mac OS X, Android, iOS, at Microsoft Windows OSes.

Ang OpenVPN ay dinisenyo upang suportahan ang nababaluktot na mga pamamaraan sa pagpapatotoo ng client batay sa mga certificate, dalawang-factor na pagpapatunay, at smart card. Tandaan bagaman hindi ito isang proxy ng web app at hindi ito gumana sa pamamagitan ng isang web browser.

Bilang karagdagan, ang OpenVPN Access Server ay dinisenyo upang suportahan ang isang kalabisan ng mga kumpigurasyon, kabilang ang butil-butil at secure na malayuang pag-access sa mga serbisyong panloob na network, pati na rin ang mga pribadong application at mapagkukunan ng cloud network, habang nag-aalok ng napakahusay na kontrol.

Maraming maliliit at katamtamang mga negosyo ang pinili upang gamitin ang OpenVPN dahil sa pagbibigay ng kanilang mga empleyado ng malayuang koneksyon sa suporta para sa pagtatrabaho mula sa bahay o sa ibang bansa.

Habang ang proyekto ay talagang isang serbisyo ng daemon na tumatakbo sa background at maaaring ma-access lamang sa pamamagitan ng X11 terminal emulator o sa Linux console, ang isang malawak na hanay ng GUI (Graphical User Interface) na front-ends ay umiiral para dito, na nagbibigay-daan sa pagtatapos -Unang madaling kumonekta sa isang partikular na server ng OpenVPN gamit ang mga tinukoy na mga file ng configuration.

Lahat ng lahat, ang OpenVPN ay isang mahusay, bukas na mapagkukunan at libreng alternatibo sa mga katulad, pa proprietary o mahirap na ipatupad ang mga solusyon ng VPN, tulad ng L2TP (Layer 2 Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol), at IPsec (Internet Protocol Security).

Ano ang bago sa paglabas na ito:

• David Sommerseth (1):
• pamamahala: Binabalaan kung ginagamit ang port ng TCP nang walang password
• Gert Doering (3):
• Ang wastong bersyon sa ChangeLog - ay dapat na 2.4.5, ay mistyped bilang 2.4.4
• Ayusin ang potensyal na double-free () sa Interactive Service (CVE-2018-9336)
• paghahanda ng paglabas v2.4.6 (ChangeLog, version.m4, Changes.rst)
• Gert van Dijk (1):
• manpage: mapabuti ang paglalarawan ng --status at --status-version
• Joost Rijneveld (1):
• Gumawa ng return code panlabas na mga tls na key match docs
• Selva Nair (3):
• Tanggalin ang ruta ng IPv6 sa & quot; konektado & quot; network sa tun close
• Pamamahala: mag-babala tungkol sa password lamang kapag ginagamit ang pagpipilian
• Iwasan ang pag-overflow sa oras ng pagkalkula ng oras ng paggising
• Simon Matter (1):
• Magdagdag ng nawawalang #ifdef SSL_OP_NO_TLSv1_1 / 2
• Steffan Karger (1):
• Suriin ang higit pang data sa channel ng pagkontrol

Ano ang bagong sa bersyon:

• Antonio Quartulli (1):
• Huwag pansinin ang auth-nocache para sa auth-user-pass kung ang auth-token ay hunhon
• David Sommerseth (3):
• crypto: Paganahin ang SHA256 fingerprint checking sa --verify-hash
• copyright: I-update ang mga teksto ng lisensya ng GPLv2
• auth-token na may pag-aayos ng auth-nocache sinira - hindi maituturing na crypto build
• Emmanuel Deloget (8):
• OpenSSL: huwag gumamit ng direktang access sa panloob ng X509
• OpenSSL: huwag gumamit ng direktang access sa panloob ng EVP_PKEY
• OpenSSL: huwag gumamit ng direktang pag-access sa panloob ng RSA
• OpenSSL: huwag gumamit ng direktang access sa panloob ng DSA
• OpenSSL: puwersahin meth- & gt; pangalan bilang di-const kapag libre namin () ito
• OpenSSL: huwag gumamit ng direktang access sa panloob ng EVP_MD_CTX
• OpenSSL: huwag gumamit ng direktang access sa panloob ng EVP_CIPHER_CTX
• OpenSSL: huwag gumamit ng direktang access sa panloob ng HMAC_CTX
• Gert Doering (6):
• Ayusin ang pag-uugali ng NCP sa TLS makipagkonek muli.
• Alisin ang maling limitasyon sa max na bilang ng mga args para sa --plugin
• Ayusin ang kaso sa gilid ng mga kliyente na hindi nag-set up ng cipher sa walang laman na PUSH_REPLY.
• Ayusin ang potensyal na 1-byte na overread sa pag-parse ng TCP option.
• Ayusin ang remote-triggerable ASSERT () sa baluktot na IPv6 packet.
• Paghahanda para sa release v2.4.3 (ChangeLog, version.m4, Changes.rst)
• Guido Vranken (6):
• refactor my_strupr
• Ayusin ang 2 paglabas ng memorya sa routine authentication ng proxy
• Ayusin ang pagtagas ng memory sa add_option () para sa 'koneksyon' ng opsyon
• Tiyaking ang pagpipiliang array p [] ay palaging Null-terminated
• Ayusin ang isang null-pointer dereference sa establish_http_proxy_passthru ()
• Pigilan ang dalawang uri ng buffer ng stack na nababasa ng OOB at isang pag-crash para sa di-wastong input data
• Jeremie Courreges-Anglas (2):
• Ayusin ang isang hindi nakalistang access sa OpenBSD / sparc64
• Nawawala ang isama para sa socket-flags TCP_NODELAY sa OpenBSD
• Matthias Andree (1):
• Gawing muli ang self-contained openvpn-plugin.h.
• Selva Nair (1):
• Ipasa ang tamang laki ng buffer sa GetModuleFileNameW ()
• Steffan Karger (11):
• Mag-log sa na-negotiate (NCP) cipher
• Iwasan ang isang 1 byte overcopy sa x509_get_subject (ssl_verify_openssl.c)
• Laktawan ang mga pagsusulit ng yunit ng tls-crypt kung hindi suportado ang mode na crypto
• openssl: ayusin ang pag-overflow check para sa mga long -tls-cipher option
• Magdagdag ng test key ng DSA / pares ng cert sa mga sample-key
• Ayusin ang mga pagkalkula ng mbedtls fingerprint
• mbedtls: ayusin --x509-track post-authentication remote DoS (CVE-2017-7522)
• mbedtls: nangangailangan ng mga katugmang uri ng C-string para sa --x509-username-field
• Ayusin ang malayuang pag-trigger ng memory (CVE-2017-7521)
• Paghigpitan - Mga uri ng extension ng x509-alt-username
• Ayusin ang potensyal na double-free sa --x509-alt-username (CVE-2017-7521)
• Steven McDonald (1):
• Ayusin ang gateway detection sa OpenBSD routing domain

Ano ang bago sa bersyon 2.4.2:

• auth-token: Siguraduhing linisin ang mga token sa de-auth
• docs: Fixed man-page warnings discoverd sa pamamagitan ng rpmlint
• Magsagawa ng --cipher / - ang auth wala nang mas malinaw sa mga panganib
• plugin: Ayusin ang dokumentong typo para sa type_mask
• plugin: I-export ang secure_memzero () sa mga plug-in
• Ayusin ang extract_x509_field_ssl para sa mga panlabas na bagay, v2
• Sa pag-clear ng auth-pump plugin ang password pagkatapos gamitin
• paglilinis: pagsamahin ang packet_id_alloc_outgoing () sa packet_id_write ()
• Hindi magpatakbo ng mga pagsusulit ng packet_id unit para sa - hindi makakaya-crypto builds
• Ayusin ang mga Pagbabago sa Mga Pagbabago.rst
• Ayusin ang pagtagas ng memory sa x509_verify_cert_ku ()
• mbedtls: tama suriin ang halaga ng return sa pkcs11_certificate_dn ()
• Ibalik ang mga parameter ng frame ng pre-NCP para sa mga bagong sesyon
• Laging i-clear ang username / password mula sa memory sa error
• Isasaalang-alang ang mga pagsasaalang-alang sa seguridad sa tls sa pahina ng tao
• Huwag igiit ang pagtanggap ng masyadong-malaki na mga packet control (CVE-2017-7478)
• Mag-drop ng mga packet sa halip na igiit kung ang packet id ay gumulong (CVE-2017-7479)
• Magtakda ng isang mababang sukatan ng interface para sa tapikin ang adaptor kapag ginagamit ang block-outside-dns

Ano ang bago sa bersyon 2.4.1:

• Antonio Quartulli (4):
• subukang magdagdag ng ruta ng IPv6 kahit na walang naka-configure na IPv6 address
• ayusin ang pag-uugali ng pag-redirect-gateway kapag ang isang default na ruta ng IPv4 ay hindi umiiral
• CRL: gamitin time_t sa halip na struct timespec upang iimbak ang huling mtime
• huwag pansinin ang remote-random-hostname kung ang isang numerong host ay ibinigay
• Christian Hesse (7):
• tao: ayusin ang pag-format para sa alternatibong opsyon
• systemd: Gamitin ang mga tool ng automake upang mag-install ng mga file ng unit
• systemd: Huwag lahi sa RuntimeDirectory
• systemd: Magdagdag ng higit pang tampok sa seguridad para sa mga unit system
• Linisin ang paghawak ng path ng plugin
• plugin: Alisin ang GNUism sa openvpn-plugin.h generation
• ayusin ang typo sa notification message
• David Sommerseth (6):
• pamamahala: & gt; REMOTE operation ay patungan ang pagbabago ng indicator
• pamamahala: Alisin ang isang kalabisan na block #ifdef
• git: Pagsamahin. gitignore file sa isang solong file
• systemd: Ilipat ang READY = 1 signaling sa mas naunang punto
• plugin: Pagbutihin ang paghawak ng default na direktoryo ng plug-in
• paglilinis: Tanggalin ang mga sira na pag-andar ng pagproseso ng env
• Emmanuel Deloget (8):
• OpenSSL: suriin ang dahilan ng SSL, hindi ang buong error
• OpenSSL: huwag gumamit ng direktang access sa panloob ng X509_STORE_CTX
• OpenSSL: huwag gumamit ng direktang access sa panloob ng SSL_CTX
• OpenSSL: huwag gumamit ng direktang access sa panloob ng X509_STORE
• OpenSSL: huwag gumamit ng direktang access sa panloob ng X509_OBJECT
• OpenSSL: huwag gumamit ng direktang access sa panloob ng RSA_METHOD
• OpenSSL: Ang mga simbolo ng SSLeay ay hindi na magagamit sa OpenSSL 1.1
• OpenSSL: gamitin ang EVP_CipherInit_ex () sa halip ng EVP_CipherInit ()
• Eric Thorpe (1):
• Fix Building gamit ang MSVC
• Gert Doering (5):
• Magdagdag ng openssl_compat.h sa openvpn_SOURCES
• Fix '--dev null'
• Ayusin ang pag-install ng ruta host ng IPv6 sa server ng VPN kapag gumagamit ng iservice.
• Gumawa ng ENABLE_OCC na hindi na nakasalalay sa! ENABLE_SMALL
• Paghahanda para sa release v2.4.1 (ChangeLog, version.m4)
• Gisle Vanem (1):
• Pag-crash sa options.c
• Ilya Shipitsin (2):
• Lutasin ang ilang mga isyu ng travis-ci
• travis-ci: tanggalin ang hindi nagamit na mga file
• Olivier Wahrenberger (1):
• Ayusin ang gusali gamit ang LibreSSL 2.5.1 sa pamamagitan ng paglilinis ng isang hack.
• Selva Nair (4):
• Ayusin ang mga pagpipilian sa push digest update
• Laging bitawan ang dhcp address sa close_tun () sa Windows.
• Magdagdag ng tseke para sa -Wl, --wrap support sa linker
• Ayusin ang tsek ng miyembro ng grupo sa interactive na serbisyo upang gumana sa mga domain
• Simon Matter (1):
• Ayusin ang segfault kapag gumagamit ng crypto lib nang walang AES-256-CTR o SHA256
• Steffan Karger (8):
• Higit pang malawakang ipinatupad ang estilo ng Allman at braces-around-conditionals
• Gamitin ang SHA256 para sa panloob na digest, sa halip ng MD5
• OpenSSL: 1.1 fallout - ayusin ang pag-configure sa lumang autoconf
• Ayusin ang mga uri sa WIN32 socket_listen_accept ()
• Alisin ang mga duplicate na mga variable ng X509 env
• Ayusin ang mga di-C99 na sumusunod sa sumusunod: huwag gumamit ng const size_t bilang haba ng array
• Deprecate --ns-cert-type
• Maging mas kaunting interes sa mga extension ng keyUsage

Ano ang bago sa bersyon 2.4.0:

• Christian Hesse (1):
• i-update ang taon sa mensahe ng copyright
• David Sommerseth (2):
• tao: Pagbutihin ang - seksyon ng katahimikan
• I-dokumento ang - opsyon na-token
• Gert Doering (3):
• Pag-ayos ng topology subnet sa FreeBSD 11
• Pag-ayos ng topology subnet sa OpenBSD
• Paghahanda ng paglabas ng v2.3.14
• Lev Stipakov (1):
• I-drop ang mga packet na naka-recursively routed
• Selva Nair (4):
• Support - block-outside-dns sa maramihang mga tunnels
• Kapag pag-parse '--setenv opt xx ..' siguraduhing ang isang third parameter ay naroroon
• I-restart ang mga signal mula sa loop ng kaganapan sa SIGTERM sa panahon ng exit-notification wait
• Ihambing nang tama ang default na address ng server ng dhcp sa pahina ng tao
• Steffan Karger (1):
• Linisin ang format_hex_ex ()

Ano ang bago sa bersyon 2.3.9:

• Arne Schwabe (2):
• Iulat ang mga nawawalang mga endline ng mga inline na file bilang mga babala
• Ayusin ang gumawa e473b7c kung ang isang inline na file ay mangyayari na magkaroon ng isang line break nang eksakto sa buffer limit
• Gert Doering (3):
• Gumawa ng isang makabuluhang mensaheng error kung ang - ay nakakakuha ng paraan sa paghiling ng mga password.
• Dokumento - mga pagbabago sa monumento at mga kahihinatnan (--askpass, --auth-nocache).
• Paghahanda para sa release v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Del ipv6 addr sa malapit ng linux tun interface
• James Geboski (1):
• Ayusin - hindi maiiwasan ang paskil para sa input ng password sa pamamagitan ng stdin
• Steffan Karger (5):
• sumulat agad ng pid file pagkatapos ng daemonizing
• Gumawa ng __func__ gumana sa Visual Studio masyadong
• ayusin ang pagbabalik: query password bago maging demonyo
• Ayusin ang paggamit ng interface ng pamamahala upang makakuha ng mga password.
• I-tsek ang overflow check sa openvpn_decrypt ()

Ano ang bago sa bersyon 2.3.8:

• Arne Schwabe (2):
• Iulat ang mga nawawalang mga endline ng mga inline na file bilang mga babala
• Ayusin ang gumawa e473b7c kung ang isang inline na file ay mangyayari na magkaroon ng isang line break nang eksakto sa buffer limit
• Gert Doering (3):
• Gumawa ng isang makabuluhang mensaheng error kung ang - ay nakakakuha ng paraan sa paghiling ng mga password.
• Dokumento - mga pagbabago sa monumento at mga kahihinatnan (--askpass, --auth-nocache).
• Paghahanda para sa release v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Del ipv6 addr sa malapit ng linux tun interface
• James Geboski (1):
• Ayusin - hindi maiiwasan ang paskil para sa input ng password sa pamamagitan ng stdin
• Steffan Karger (5):
• sumulat agad ng pid file pagkatapos ng daemonizing
• Gumawa ng __func__ gumana sa Visual Studio masyadong
• ayusin ang pagbabalik: query password bago maging demonyo
• Ayusin ang paggamit ng interface ng pamamahala upang makakuha ng mga password.
• I-tsek ang overflow check sa openvpn_decrypt ()

Ano ang bago sa bersyon 2.3.6:

• Andris Kalnozols (2):
• Ayusin ang ilang mga typo sa pahina ng tao.
• Huwag maglagay ng x509-username-field para sa mga argumento na magkakasama.
• Arne Schwabe (1):
• Ayusin ang mga ruta ng server na hindi gumagana sa topology subnet sa - server [v3]
• David Sommerseth (4):
• Pagbutihin ang pag-uulat ng error sa pag-access ng file sa --client-config-dir at --ccd-eksklusibo
• Huwag hayaan ang openvpn_popen () na panatilihin ang mga zombie sa paligid
• Magdagdag ng systemd unit file para sa OpenVPN
• systemd: Gamitin ang mga function ng system upang isaalang-alang ang availability ng system
• Gert Doering (4):
• I-drop ang mga papasok na fe80 :: tahimik na mga pack ngayon.
• Ayusin ang mga pagkamatay na nakasalalay sa platform na t_lpback.sh
• Tumawag sa mga tagasubaybay ng init ng init sa tahasang landas (./)
• Paghahanda para sa release v2.3.5 (ChangeLog, version.m4)
• Heiko Hund (1):
• pinuhin ang badya upang payagan ang iba pang mga mode kaysa sa CBC
• Hubert Kario (2):
• ocsp_check - pag-verify ng lagda at mga resulta ng cert staus ay hiwalay
• ocsp_check - double check kung ang ocsp ay hindi nag-ulat ng anumang mga error sa pagpapatupad
• James Bekkema (1):
• Ayusin ang socket-flag / TCP_NODELAY sa Mac OS X
• James Yonan (6):
• Fixed ilang mga pagkakataon ng mga deklarasyon pagkatapos ng mga pahayag.
• Sa socket.c, naayos na isyu kung saan ipinagkaloob ang hindi pinahintulutang halaga (magkamali) sa gai_strerror.
• Malinaw na nagsumite ng pangatlong parameter ng mga setockopt sa const * void * upang maiwasan ang babala.
• Sinusuportahan ng MSVC 2008 ang dimensioning ng isang array na may const var o hindi gumagamit ng% z bilang isang tagatukoy ng format ng printf.
• Tukuyin ang PATH_SEPARATOR para sa MSVC builds.
• Naayos ang ilang mga isyu sa pag-compile na may show_library_versions ()
• Jann Horn (1):
• Alisin ang pagiging kumplikado ng quadratic mula sa openvpn_base64_decode ()
• Mike Gilbert (1):
• Magdagdag ng i-configure ang tseke para sa landas sa systemd-ask-password
• Philipp Hagemeister (2):
• Magdagdag ng topology sa sample file configuration file
• Ipatupad ang pagdaragdag ng ruta sa pag-link para sa iproute2
• Samuel Thibault (1):
• Tiyaking laging tinanggal ang mga file na kumonekta sa kliyente
• Steffan Karger (13):
• Alisin ang function nang walang epekto (cipher_ok () palaging ibinalik na totoo).
• Alisin ang mga hindi gumagana ng wrapper sa crypto_openssl.c
• Ayusin ang bug na hindi tama ang pagtanggi sa representasyon ng ou sa polar builds
• I-update ang README.polarssl
• Palitan ang pangalan ng ALLOW_NON_CBC_CIPHERS sa ENABLE_OFB_CFB_MODE, at idagdag upang i-configure.
• Magdagdag ng wastong tseke para sa mga crypto mode (CBC o OFB / CFB)
• Pagbutihin - ipakita ang mga ciphers upang ipakita kung ang isang cipher ay magagamit sa static key mode
• Palawakin ang mga pagsusulit na t_lpback upang masubukan ang lahat ng ciphers na iniulat ng --show-ciphers
• Huwag lumabas sa demonyo kung ang pagbubukas o pag-parse ay nabigo ang CRL.
• Ayusin ang typo sa cipher_kt_mode_ {cbc, ofb_cfb} () doxygen.
• Ayusin ang pagbabalik sa mga pribadong key na protektado ng password (polarssl)
• ssl_polarssl.c: ayusin ang mga kasama at gumawa ng mga cast nang tahasang
• Alisin ang mga hindi nagamit na mga variable mula sa ssl_verify_openssl.c extract_x509_extension ()
• TDivine (1):
• Ayusin ang & quot; code = 995 & quot; bug na may bintana NDIS6 driver ng tap.

Ano ang bago sa bersyon 2.3.4:

• Ayusin ang pahina ng tao at OSCP script: tls_serial_ {n} ay decimal
• Ayusin ang is_ipv6 sa kaso ng interface ng tapikin.
• Pagtanggal ng address / ruta ng IPv6 para sa Win8
• Magdagdag ng pag-uulat ng bersyon ng SSL library.
• Minor t_client.sh cleanups
• Pag-ayos - kapansin-pansin sa FreeBSD para sa mga socket ng IPv4.
• Muling isulat ang seksyon ng manpage tungkol sa - nakakatawa
• Higit pang mga pag-update na may kaugnayan sa IPv6 sa pahina ng openvpn man.
• Mag-kondisyon ng mga tawag sa print_default_gateway sa! ENABLE_SMALL
• Paghahanda para sa release v2.3.4 (ChangeLog, version.m4)
• Gumamit ng katutubong strtoull () sa MSVC 2013.
• Kapag hindi tatalakay ang tls-version-min, bumalik sa orihinal na paraan ng pagsasaling-wika.
• Baguhin ang pagpirma ng hash sa x509_get_sha1_hash (), inaayos ang babala ng tagatala.
• Ayusin ang OCSP_check.sh upang gumamit din ng decimal para sa pagpapatunay ng stdout.
• Ayusin ang sistema ng pagtatayo upang tanggapin ang mga lokasyon ng crypto library na hindi system para sa mga plugin.
• Gumawa ng serial env exporting pare-pareho sa pagitan ng OpenSSL at PolarSSL builds.
• Ayusin ang pagpili ng SOCKSv5 method
• Ayusin ang typo sa sample build script upang magamit ang LDFLAGS

Ano ang bago sa bersyon 2.3.3:

• pkcs11: gumamit ng generic evp key sa halip ng rsa
• Magdagdag ng suporta ng mga device sa ilalim ng Mac OS X
• Magdagdag ng suporta upang huwag pansinin ang mga tukoy na pagpipilian.
• Magdagdag ng tala kung ano ang ginagawa ng setenv opt para sa OpenVPN & lt; 2.3.3
• Magdagdag ng pag-uulat ng bersyon ng UI sa pangunahing hanay ng impormasyon ng push-peer.
• Ayusin ang error sa pag-compile sa ssl_openssl na ipinakilala sa pamamagitan ng patch ng panlabas na pamamahala ng polar
• Ayusin ang assertion kapag natanggap ang SIGUSR1 habang ang tagumpay getaddrinfo
• Magdagdag ng babala para sa paggamit ng mga variable ng block ng koneksyon pagkatapos ng mga bloke ng koneksyon
• Ipakilala ang check ng kaligtasan para sa mga pagpipilian sa proxy ng http
• pahina ng tao: I-update ang pahina ng tao tungkol sa tls_digest_ {n} variable ng kapaligiran
• Alisin ang - pagpipilian sa pag-configure ng - hindi maiiwasan-eurephia
• plugin: Palawakin ang plug-in v3 API upang kilalanin ang pagpapatupad ng SSL na ginamit
• autoconf: Ayusin ang typo
• Ayusin ang mga tseke ng file kapag - ginagamit ang chroot
• Dokumento authfile para sa socks server
• Ayusin ang mga halimbawa ng IPv6 sa t_client.rc-sample
• Ayusin ang mabagal na memory na alisan ng tubig sa bawat renegotiation ng kliyente.
• t_client.sh: huwag pansinin ang mga patlang mula sa & quot; ip -6 ruta ipakita & quot; output na masamang resulta.
• Gumawa ng code at dokumentasyon para sa -remote-random-hostname na pare-pareho.
• Bawasan ang IV_OPENVPN_GUI_VERSION = sa IV_GUI_VER =
• Mag-isyu ng isyu sa --chroot, / dev / urandom at PolarSSL.
• I-rename ang 'struct ruta' sa 'struct route_ipv4'
• Palitan ang kinopya na mga elemento ng istraktura kasama ang
• Nawawala ang workaround SSL_OP_NO_TICKET sa mga naunang bersyon ng OpenSSL
• Palaging mag-load ng mga intermediate na sertipiko mula sa isang PKCS # 12 na file
• Suportahan ang mga pangalan ng TAP adaptor ng non-ASCII sa Windows
• Suportahan ang mga di-ASCII character sa landas ng tmp ng Windows
• pag-aayos ng TLS na bersyon
• Idinagdag & quot; setenv opt & quot; prefix na direktiba.
• Itakda ang SSL_OP_NO_TICKET na bandila sa konteksto ng SSL para sa mga build ng OpenSSL, upang huwag paganahin ang muling paglilipat ng walang pagpaparehistro ng TLS.
• Ayusin ang hindi totoo na hindi pinapansin ang mga opsyon na pinindot na config (trac # 349).
• Refactor tls_ctx_use_external_private_key ()
• - pamamahala-panlabas-key para sa PolarSSL
• external_pkcs1_sign: Suportahan ang mga di-RSA_SIG_RAW hash_ids
• Tamang tekstong error kapag wala ang Windows TAP device
• Nangangailangan ng 1.2.x na bersyon ng PolarSSL
• tls_ctx_load_ca: Pagbutihin ang mga mensahe ng error sa certificate
• Alisin ang mga duplicate na entry ng cipher mula sa talahanayan ng pagsasalin TLS.
• Ayusin ang i-configure ang pakikipag-ugnayan sa mga static na library ng OpenSSL
• Huwag ipasa ang struct tls_session * bilang walang bisa * sa key_state_ssl_init ().
• Nangangailangan ng polarssl & gt; = 1.2.10 para sa polarssl-builds, na nag-aayos ng CVE-2013-5915.
• Gamitin ang RSA_generate_key_ex () sa halip na hindi na ginagamit, RSA_generate_key ()
• I-update din ang TLSv1_method () mga tawag sa code ng suporta sa mga tawag sa SSLv23_method ().
• I-update ang mga mensahe ng error sa TLSv1 sa SSLv23 upang mapakita ang mga pagbabago mula sa gumawa 4b67f98
• Kung tinustusan ang --tls-cipher, gumawa - ipakita ang listahan ng listahan.
• Magdagdag ng mga pangalan ng karaniwang mga listahan ng cipher ng openssl sa ssl.c.
• Magdagdag ng suporta para sa client-cert-hindi-kinakailangan para sa PolarSSL.
• Ayusin ang & quot;. & quot; sa paglalarawan ng pagsasagawa.

Ano ang bago sa bersyon 2.3.2:

• Tanging mga babala sa pag-print ng script kapag ginamit ang isang script. Alisin ang nagkalat na pagbanggit ng sistema ng security-script.
• Ilipat ang mga setting ng script ng user sa set_user_script function
• Ilipat ang pag-tsek ng pag-access sa script ng script sa set_user_script
• Magbigay ng mas tumpak na mensahe ng babala
• Ayusin ang pag-crash ng NULL-pointer sa route_list_add_vpn_gateway ().
• Ayusin ang problema sa UDP tunneling dahil sa mga mishandled pktinfo structures.
• Paghahanda para sa v2.3.2 (ChangeLog, version.m4)
• Palaging itulak ang pangunahing hanay ng mga halaga ng impormasyon ng peer sa server.
• gumawa ng 'explicit-exit-notify' pullable again
• Ayusin ang proto tcp6 para sa mga server at mga di-P2MP na mga mode
• Ayusin ang execution script ng Windows kapag tinawag mula sa mga hook ng script
• Fixed tls-cipher bug ng pagsasalin sa openssl-build
• Fixed ang paggamit ng mga hindi gaanong tumutukoy sa USE_SSL sa ENABLE_SSL
• Ayusin ang segfault kapag nagpapagana ng mga pf plug-in

Ano ang bago sa bersyon 2.2.2:

• Nagbabala lamang tungkol sa mga hindi naka-pack na IPv6 na mga pack nang isang beses
• Magdagdag ng nawawalang break sa pagitan ng & quot; case IPv4 & quot; at & quot; case IPv6 & quot;, na humahantong sa
• Bersyon ng pag-tap sa pag-tap sa driver mula 9.8 hanggang 9.9
• Mag-log ng mensahe ng error at lumabas para sa & quot; win32, tun mode, i-tap ang bersyon ng pagmamaneho 9.8 & quot;
• Mga nauugnay na bahagi ng pkcs11 na may kaugnayan sa 7a8d707237bb18 hanggang 2.2 sangay

Ano ang bago sa bersyon 2.2.2:

/ li>

Ano ang bagong sa bersyon 2.2 Beta 5:

Studio 2008.

Ano ang bago sa bersyon 2.1.4:

• Ayusin ang problema sa mga target na espesyal na ruta ng kaso ('remote_host ')
• Ang init_route () function ay mag-iiwan at netlist na hindi nakuha para sa mga get_special_addr () ruta (& quot; remote_host & quot; na isa sa mga ito).
• Ang netlist ay nasa stack, naglalaman ng random na basura, at netlist.len ay hindi magiging 0 - sa gayon, ang data ng random na stack ay kinopya mula sa netlist.data [] hanggang puno na ang route_list.

Ano ang bago sa bersyon 2.1:

• Isyu sa seguridad ng Windows:
• Nakapirming potensyal na kahalagahan ng lokal na kahalagahan sa pagtaas sa Windows sa serbisyo. Ang serbisyo ng Windows ay hindi maayos na nagbanggit ng executable filename na ipinasa sa CreateService. Ang isang lokal na magsasalakay na may write access sa direktoryo ng root C: ay maaaring lumikha ng executable na tatakbo sa parehong antas ng pribilehiyo tulad ng serbisyo ng OpenVPN Windows. Gayunpaman, dahil karaniwang hindi kakailanganing sumulat ng pahintulot ang mga user na hindi Administratibo sa C: , ang kahinaan na ito ay karaniwang hindi mapupuntahan maliban sa mga mas lumang bersyon ng Windows (tulad ng Win2K) kung saan ang mga pahintulot sa default sa C: ay magpapahintulot sa sinumang gumagamit na lumikha ng mga file doon.
• Credit:
• Scott Laurie, MWR InfoSecurity
• Nagdagdag ng batay sa alternatibong build system na batay sa Python para sa Windows gamit ang Visual Studio 2008 (sa panalo na direktoryo).

Kapag nag-abort sa isang di-kaaya-ayang paraan, subukang ipatupad ang do_close_tun sa init.c bago ang daemon exit upang matiyak na ang interface ng tun / tap ay sarado at ang anumang idinagdag na mga ruta ay matatanggal.
• Fixed isang isyu kung saan ang AUTH_FAILED ay hindi maayos na naihatid sa client kapag ang isang masamang password ay ibinibigay para sa re-tanggap ng mid-session, na nagiging sanhi ng koneksyon na mabibigo nang walang indikasyon ng error.
• Huwag mag-advance sa susunod na profile ng koneksyon sa AUTH_FAILED na mga error.
• Fixed isang isyu sa Pamamahala ng Interface na maaaring maging sanhi ng isang proseso hang sa 100% CPU paggamit sa --management-client mode kung ang client ng interface ng pamamahala ay nakakunekta sa punto kung saan ang mga kredensyal ay itinatanong.
• Inayos ang isang isyu kung saan ang set-seg ay naka-set sa 0 sa client, upang ang kahalagahan ng server-side ay mangunguna, ang pag-akda ng auth_deferred_expire_window ay hindi tamang ibalik ang isang panahon ng window na 0 segundo. Sa kasong ito, ang tamang panahon ng window ay dapat na panahon ng pagkakamay ng window.
• Binagong & quot; & gt; PASSWORD: Nabigo ang Pag-verify & quot; pamamahala ng interface ng abiso upang isama ang isang client kadahilanan string:
• & gt; PASSWORD: Nabigo ang Pag-verify:
• 'AUTH_TYPE' ['REASON_STRING']
• Paganahin ang exponential backoff sa retransmits layer ng pagiging maaasahan.
• Itakda ang mga buffer ng socket (SO_SNDBUF at SO_RCVBUF) kaagad pagkatapos na ang socket ay nilikha sa halip na maghintay hanggang pagkatapos kumonekta / makinig.
• Pag-optimize ng pagganap ng interface ng interface:
• 1. Nagdagdag ng env-filter na utos ng MI upang magsagawa ng pag-filter sa mga env vars na dumaan sa bilang bahagi ng --management-client-auth 2. sinisikap ngayon ng man_write na mag-aggregate ng output sa mas malaking mga bloke (hanggang 1024 bytes) para sa mas mahusay na i / o
• Fixed minor issue sa driver ng Windows TAP DEBUG ay bumuo kung saan hindi naka-print ang mga di-null-terminated unicode string.
• Nakatakdang isyu sa Windows gamit ang MSVC compiler, kung saan ang TCP_NODELAY na suporta ay hindi pinagsama-sama.
• Mga pagpapahusay ng proxy:
• Pinahusay na kakayahan ng http-auth & quot; auto & quot; bandila upang dynamic na tuklasin ang pamamaraan ng auth na kinakailangan ng proxy. Nagdagdag ng http-auth & quot; auto-nct & quot; bandila upang tanggihan ang mga mahina na proxy auth method. Nagdagdag ng HTTP proxy para sa digest authentication method. Inalis ang labis na openvpn_sleep na tawag mula sa proxy.c.
• Ipinatupad ang http-proxy-override at http-proxy-fallback na mga direktiba upang gawing mas madali para sa mga UI ng client ng OpenVPN upang magsimula ng isang pre-umiiral na client config file gamit ang mga opsyon sa proxy, o sa adaptif na bumalik sa isang proxy connection kung direktang koneksyon nabigo.
• Ipinatupad ang isang key / value auth channel mula sa client sa server.
• Nakapirming isyu kung saan ang masamang kredito na ibinigay ng interface ng pamamahala para sa HTTP Proxy Basic Authentication ay pupunta sa isang walang katapusang retry-fail loop sa halip na requerying ang interface ng pamamahala para sa mga bagong cred.
• Nagdagdag ng suporta para sa debugging ng MSVC ng openvpn.exe sa settings.in:
• # Buuin ang debugging na bersyon ng openvpn.exe! tukuyin ang PRODUCT_OPENVPN_DEBUG
• Ipinatupad ang pagpapalawak ng multi-address DNS sa field ng network ng mga command ng ruta. Kapag ang isang solong IP address ay ninanais mula sa pagpapalawak ng multi-address DNS, gamitin ang unang address sa halip na isang random na pagpili.
• Idinagdag - opsyon sa pag-register-dns para sa Windows. Naayos ang ilang mga isyu sa Windows na may --log, subprocess creation para sa command execution, at stdout / stderr redirection.
• Fixed isang isyu kung saan ang mga pagpapadala ng payload ng application sa channel ng kontrol ng TLS (tulad ng AUTH_FAILED) na nangyari sa panahon o kaagad pagkatapos ng muling pag-aayos ng TLS ay maaaring mahulog.
• Nagdagdag ng babala tungkol sa pagpipilian sa tls-remote sa pahina ng tao.