Byla představena nová významná verze distribuce OpenWrt 21.02.0 zaměřená na použití v různých síťových zařízeních, jako jsou směrovače, přepínače a přístupové body. OpenWrt podporuje mnoho různých platforem a architektur a má systém sestavení, který umožňuje jednoduchou a pohodlnou křížovou kompilaci, včetně různých komponent v sestavě, což usnadňuje vytvoření hotového firmwaru nebo obrazu disku s požadovanou sadou pre- nainstalované balíčky přizpůsobené pro konkrétní úkoly. Sestavy jsou generovány pro 36 cílových platforem.
Mezi změnami v OpenWrt 21.02.0 jsou uvedeny následující:
- Minimální hardwarové požadavky byly zvýšeny. Ve výchozím sestavení, kvůli zahrnutí dalších subsystémů linuxového jádra, použití OpenWrt nyní vyžaduje zařízení s 8 MB Flash a 64 MB RAM. Pokud si přejete, můžete si i nadále vytvořit vlastní odříznutou sestavu, která může fungovat na zařízeních se 4 MB Flash a 32 MB RAM, ale funkčnost takové sestavy bude omezená a stabilita provozu není zaručena.
- Základní balíček obsahuje balíčky pro podporu technologie zabezpečení bezdrátové sítě WPA3, která je nyní standardně dostupná jak při práci v klientském režimu, tak při vytváření přístupového bodu. WPA3 poskytuje ochranu proti útokům na hádání hesla (neumožní hádání hesla v offline režimu) a využívá ověřovací protokol SAE. Možnost používat WPA3 je poskytována ve většině ovladačů pro bezdrátová zařízení.
- Základní balíček obsahuje standardně podporu pro TLS a HTTPS, což vám umožňuje přistupovat k webovému rozhraní LuCI přes HTTPS a používat nástroje jako wget a opkg k získávání informací přes šifrované komunikační kanály. Servery, přes které jsou distribuovány balíčky stažené přes opkg, jsou také standardně přepnuty na odesílání informací přes HTTPS. Knihovna mbedTLS používaná pro šifrování byla nahrazena wolfSSL (v případě potřeby můžete ručně nainstalovat knihovny mbedTLS a OpenSSL, které jsou nadále dodávány jako volitelné). Pro konfiguraci automatického přesměrování na HTTPS nabízí webové rozhraní možnost „uhttpd.main.redirect_https=1“.
- Počáteční podpora byla implementována pro subsystém jádra DSA (Distributed Switch Architecture), který poskytuje nástroje pro konfiguraci a správu kaskád vzájemně propojených ethernetových přepínačů pomocí mechanismů používaných ke konfiguraci konvenčních síťových rozhraní (iproute2, ifconfig). DSA lze použít ke konfiguraci portů a VLAN namísto dříve nabízeného nástroje swconfig, ale ne všechny ovladače přepínačů zatím DSA podporují. V navrhované verzi je DSA povoleno pro ovladače ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) a realtek.
- Byly provedeny změny v syntaxi konfiguračních souborů umístěných v /etc/config/network. V bloku "config interface" byla volba "ifname" přejmenována na "device" a v bloku "config device" byly volby "bridge" a "ifname" přejmenovány na "ports". Pro nové instalace se nyní generují samostatné soubory s nastavením pro zařízení (vrstva 2, blok „config device“) a síťová rozhraní (vrstva 3, blok „config interface“). Pro zachování zpětné kompatibility je zachována podpora staré syntaxe, tzn. dříve vytvořená nastavení nebudou vyžadovat změny. V tomto případě se ve webovém rozhraní, pokud je detekována stará syntaxe, zobrazí návrh na migraci na novou syntaxi, kterou je nutné upravit přes webové rozhraní.
Příklad nové syntaxe: config device option name 'br-lan' option type 'bridge' option macaddr '00:01:02:XX:XX:XX' list ports 'lan1' list ports 'lan2' list ports 'lan3' seznam portů 'lan4' config interface 'lan' option device 'br-lan' option proto 'static' option ipaddr '192.168.1.1' option netmask '255.255.255.0' option ip6assign '60' config device option name 'eth1' option macaddr '00 :01:02:YY:YY:YY' konfigurační rozhraní 'wan' možnost zařízení 'eth1' možnost proto 'dhcp' konfigurační rozhraní 'wan6' možnost zařízení 'eth1' možnost proto 'dhcpv6'
Analogicky s konfiguračními soubory /etc/config/network byly názvy polí v board.json změněny z „ifname“ na „device“.
- Byla přidána nová platforma „realtek“, která umožňuje použití OpenWrt na zařízeních s velkým počtem ethernetových portů, jako jsou ethernetové přepínače D-Link, ZyXEL, ALLNET, INABA a NETGEAR.
- Přidány nové platformy bcm4908 a rockchip pro zařízení založená na SoC Broadcom BCM4908 a Rockchip RK33xx. Problémy s podporou zařízení byly vyřešeny pro dříve podporované platformy.
- Podpora platformy ar71xx byla ukončena, místo toho by měla být použita platforma ath79 (pro zařízení založená na ar71xx se doporučuje přeinstalovat OpenWrt od začátku). Rovněž byla ukončena podpora pro platformy cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) a samsung (SamsungTQ210).
- Spustitelné soubory aplikací zapojených do zpracování síťových připojení jsou kompilovány v režimu PIE (Position-Independent Executables) s plnou podporou randomizace adresního prostoru (ASLR), aby bylo obtížné využít zranitelnosti v takových aplikacích.
- Při sestavování linuxového jádra jsou možnosti ve výchozím nastavení povoleny pro podporu technologií izolace kontejnerů, což umožňuje použití sady nástrojů LXC a režimu procd-ujail v OpenWrt na většině platforem.
- Je poskytována možnost sestavení s podporou pro systém řízení přístupu SELinux (ve výchozím nastavení zakázáno).
- Aktualizované verze balíčků, včetně navrhovaných vydání musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1 Linuxové jádro bylo aktualizováno na verzi 5.4.143, portuje bezdrátový stack cfg80211/mac80211 z jádra 5.10.42 a portuje podporu Wireguard VPN.
Zdroj: opennet.ru