具有流量混淆的安全强化 OpenVPN 配置

随着我们最新的基础设施升级,我们努力不断改进我们的服务。 也就是说,我们更新了我们的 OpenVPN 配置,增加了一些新功能,加强了协议的整体安全性。 新配置可以在会员区下载,接受端口范围从 30003100 并且需要 OpenVPN > 2.4。 旧配置仍然可用,因为许多路由器和嵌入式设备都带有较旧的 OpenVPN 客户端。 让我们详细看看这意味着什么。

1. IPv6 支持

OpenVPN 现在拥有完整的 IPv6 支持,因此您可以访问任何支持 IPv6 的网络或网站。 与我们所有支持的 VPN 协议一致,您将获得一个 IPv4 和 IPv6 地址。 最后,IPv6 泄漏已成为过去,如果您不使用我们的应用程序,则无需在网络设置中禁用该协议。 您可以点击此链接了解 IPv6 的所有优势。

2. TLS通道重协商

我们通过可配置的 TLS 通道到期和重新协商(reneg-sec 参数)支持完美的前向保密。 此功能提高了加密数据通道的安全性,因为它告诉 OpenVPN 每 x 秒重新协商数据通道密钥。

3. TLS-Crypt – 流量混淆

到目前为止,我们支持 OpenVPN TLS-Auth 参数,这是一项确保没有人篡改 OpenVPN 流量的功能。 通俗地说,是一种确保 TLS 控制通道真实性的验证方法,其中包含建立 VPN 隧道的验证过程。 此功能已被弃用,取而代之的是 TLS-Crypt,它更进一步并添加了 混淆整个流量. 如果您居住在一个试图通过分析流量模式来阻止 VPN 连接的受压迫国家,这将非常有用。

TLS-Crypt 通过使用预先配置的静态密钥对每个 OpenVPN 数据包添加一轮加密和解密操作。 这意味着每个 OpenVPN 数据包都会被加密两次,一次使用静态密钥,一次使用 TLS 对称密钥。

有时,其他 VPN 提供商会通过部署定制的 OpenVPN 版本来支持混淆技术,其中包括“XOR 补丁”或类似的混淆技术,这些技术是劣质且过时的。 现在 OpenVPN 内置了混淆功能,我们利用它而不开发非标准解决方案,这需要自定义构建 OpenVPN。

4. 加密

基于 TCP 的 OpenVPN 默认使用 TLS 1.2 DHE-RSA-AES256-GCM-SHA384、RSA 8192 位加密,而基于 UDP 的 OpenVPN 使用 DTLS 1.2 DHE-RSA-AES256-GCM-SHA384、RSA 8192 位加密。 基本来说, 非常安全强加密 没有已知的弱点。

TL;博士 OpenVPN 对每个数据包进行两次加密,混淆整个流量,并且比以往任何时候都更有效地绕过防火墙。 新配置可用于我们的应用程序,配置文件可在会员区获得。