OpenVPN
OpenVPN是一個用於建立虛擬私人網絡加密通道的軟件套件,最早由James Yonan編寫。OpenVPN允許建立的VPN使用公開金鑰、電子證書、或者用戶名/密碼來進行身份驗證。
原作者 | James Yonan |
---|---|
開發者 | OpenVPN 專案 / OpenVPN Inc. |
首次發佈 | 2001年5月13日[1] |
目前版本 |
|
原始碼庫 | |
程式語言 | C語言 |
平台 | |
類型 | VPN |
許可協定 | GNU通用公共許可證 |
網站 | openvpn |
它大量使用了OpenSSL加密庫中的SSL/TLS協定函式庫。
目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Microsoft Windows以及Android和iOS上執行,並包含了許多安全性的功能。它不與IPsec相容。
原理
OpenVPN的技術核心是虛擬網卡,其次是SSL協定實現。
虛擬網卡
在OpenVPN中,如果用戶訪問一個遠端的虛擬地址(屬於虛擬網卡配用的地址系列,區別於真實地址),則作業系統會通過路由機制將封包(TUN模式)或數據幀(TAP模式)傳送到虛擬網卡上,服務程式接收該數據並進行相應的處理後,會通過SOCKET從外網上傳送出去。這完成了一個單向傳輸的過程,反之亦然。當遠端服務程式通過SOCKET從外網上接收到數據,並進行相應的處理後,又會傳送回給虛擬網卡,則該應用軟件就可以接收到。
加密
OpenVPN使用OpenSSL庫來加密數據與控制資訊。這意味着,它能夠使用任何OpenSSL支援的演算法。它提供了HMAC功能以提高連接的安全性。此外,OpenSSL的硬件加速也能提高它的效能。2.3.0以後版本引入PolarSSL。
功能
身份驗證
OpenVPN提供了多種身份驗證方式,用以確認連接雙方的身份,包括:
- 預共用金鑰
- 數碼證書
- 用戶名/密碼組合
預共用金鑰最為簡單,但它只能用於建立對等的VPN;基於PKI的第三方證書提供了最完善的功能,但是需要額外維護一個PKI證書系統。OpenVPN2.0後引入了用戶名/口令組合的身份驗證方式,它可以省略客戶端證書,但是仍需要一份伺服器證書用作加密。
功能與埠
- OpenVPN所有的通訊都基於一個單一的IP埠,預設且推薦使用UDP協定通訊,同時也支援TCP。IANA(Internet Assigned Numbers Authority)指定給OpenVPN的官方埠為1194。OpenVPN 2.0以後版本每個行程可以同時管理數個並行的隧道。OpenVPN使用通用網絡協定(TCP與UDP)的特點使它成為IPsec等協定的理想替代,尤其是在ISP(Internet service provider)過濾某些特定VPN協定的情況下。
- OpenVPN連接能通過大多數的代理伺服器,並且能夠在NAT的環境中很好地工作。
- 伺服器端具有向客戶端「推播」某些網絡組態資訊的功能,這些資訊包括:IP位址、路由設置等。
- OpenVPN提供了兩種虛擬網絡介面:通用TUN/TAP驅動,通過它們,可以建立三層IP隧道,或者虛擬二層乙太網路,後者可以傳送任何類型的二層乙太網路絡數據。
- 傳送的數據可通過LZO演算法壓縮。 但傳輸時使用lzo壓縮將遭受VORACLE威脅而暴露傳輸資料,官方預設不使用也不建議開啟此功能。[9]
安全性
OpenVPN與生俱來便具備了許多安全特性:它在用戶空間執行,無須對內核及網絡協定棧作修改;初始完畢後以chroot方式執行,放棄root權限;使用mlockall(頁面存檔備份,存於互聯網檔案館)以防止敏感數據交換到磁碟。
版本
社群版本OpenVPN Community
伺服器端:需用戶自行下載原始碼編譯、安裝。
用戶端:使用OpenVPN Connect,支援Windows、Linux、Android與iOS。
商業版本OpenVPN Access Server
伺服器端使用與社群版本相同的OpenVPN程式碼,但在上層建置易於操作的網頁式介面。
商業版本提供無限期2個VPN連線授權可免費試用。
商業版提供下列三種安裝方式:[10]
- 軟件套件,支援Ubuntu、Debian、Redhat、CentOS。
- 虛擬機映像檔,支援ESXi 5.0與Microsoft Hyper-V。
- 雲端服務佈署,支援Amazon AWS、Microsoft Azure、Google GCP、Digital Ocean droplets與ORACLE VPC。
OpenVPN Cloud
提供用戶直接租用官方架設的OpenVPN Access Server,適用於不想自行安裝管理主機的企業用戶租用。
Private Tunnel
提供僅需要使用VPN通道服務的個人用戶直接租用。
受中國大陸的限制
由於OpenVPN通訊協定特徵明顯,當從中國大陸向境外OpenVPN伺服器傳輸大量數據或進行頻繁連接後,防火長城會封鎖OpenVPN伺服器所使用的TCP/UDP埠或伺服器IP位址,使OpenVPN無法連接。而在敏感時期則會針對OpenVPN伺服器回送證書完成握手建立有效加密連接時干擾連接,在使用TCP協定模式時握手會被連接重設,而使用UDP協定時含有伺服器認證證書的封包會被故意丟棄,使OpenVPN無法建立有效加密連接而連接失敗。而在中國大陸內部的連接不受這種限制。
偽裝的改進
參考文獻
- ^ OpenVPN Change Log - OpenVPN Change Log (頁面存檔備份,存於互聯網檔案館)
- ^ Release: OpenVPN version 2.6.12. 2024年7月18日 [2024年7月18日].
- ^ Downloads. openvpn.net. [2 February 2016]. (原始內容存檔於2018-10-06).
- ^ Private Tunnel VPN - Android Apps on Google Play. [2018-01-26]. (原始內容存檔於2020-11-11).
- ^ Private Tunnel VPN. App Store. 23 October 2014 [2018-01-26]. (原始內容存檔於2019-06-05).
- ^ How to connect to Access Server from a Linux computer. [2018-01-26]. (原始內容存檔於2018-09-26).
- ^ FreeBSD Ports Search. [2018-01-26]. (原始內容存檔於2020-09-29).
- ^ The NetBSD Packages Collection: net/openvpn. [2018-01-26]. (原始內容存檔於2020-09-30).
- ^ OpenVPN wiki. [2021-03-18]. (原始內容存檔於2021-04-15).
- ^ OpenVPN官方網站. [2021-03-18]. (原始內容存檔於2021-06-04).
- ^ xtaci, xtaci/kcptun, 2024-12-20 [2024-12-22]
- ^ Solidot | 中国刺探加密连接测试新屏蔽方式. www.solidot.org. [2020-07-07]. (原始內容存檔於2020-07-07).
外部連結
- OpenVPN 專案首頁 (頁面存檔備份,存於互聯網檔案館)
- Windows的OpenVPN-GUI (頁面存檔備份,存於互聯網檔案館) 2004-2006年間,由Mathias Sundman開發使用於Windows環境的OpenVPN-GUI程式,於2.3板後已併入OpenVPN專案內
- Tunnelblick, Mac OS X的GUI
- Android的OpenVPN-Settings(頁面存檔備份,存於互聯網檔案館)