Eine neue bedeutende Version der OpenWrt 21.02.0-Distribution wurde eingeführt, die auf den Einsatz in verschiedenen Netzwerkgeräten wie Routern, Switches und Access Points abzielt. OpenWrt unterstützt viele verschiedene Plattformen und Architekturen und verfügt über ein Assembly-System, das eine einfache und bequeme Kreuzkompilierung unter Einbeziehung verschiedener Komponenten in die Assembly ermöglicht, wodurch es einfach ist, vorgefertigte Firmware oder ein Disk-Image mit dem gewünschten Satz vorgefertigter Dateien zu erstellen. installierte Pakete, die für bestimmte Aufgaben angepasst sind. Es werden Baugruppen für 36 Zielplattformen generiert.
Zu den Änderungen in OpenWrt 21.02.0 zählen die folgenden:
- Die Mindestanforderungen an die Hardware wurden erhöht. Im Standard-Build ist aufgrund der Einbindung zusätzlicher Linux-Kernel-Subsysteme für die Verwendung von OpenWrt nun ein Gerät mit 8 MB Flash und 64 MB RAM erforderlich. Wenn Sie möchten, können Sie immer noch Ihre eigene abgespeckte Baugruppe erstellen, die auf Geräten mit 4 MB Flash und 32 MB RAM funktioniert. Die Funktionalität einer solchen Baugruppe ist jedoch eingeschränkt und die Betriebsstabilität ist nicht garantiert.
- Das Basispaket umfasst Pakete zur Unterstützung der drahtlosen Netzwerksicherheitstechnologie WPA3, die jetzt standardmäßig sowohl beim Arbeiten im Client-Modus als auch beim Erstellen eines Zugangspunkts verfügbar ist. WPA3 bietet Schutz vor Angriffen zum Erraten von Passwörtern (im Offline-Modus ist das Erraten von Passwörtern nicht möglich) und verwendet das SAE-Authentifizierungsprotokoll. Die Möglichkeit zur Verwendung von WPA3 ist in den meisten Treibern für drahtlose Geräte vorgesehen.
- Das Basispaket umfasst standardmäßig Unterstützung für TLS und HTTPS, wodurch Sie über HTTPS auf die LuCI-Weboberfläche zugreifen und Dienstprogramme wie wget und opkg verwenden können, um Informationen über verschlüsselte Kommunikationskanäle abzurufen. Auch die Server, über die über opkg heruntergeladene Pakete verteilt werden, sind standardmäßig auf den Versand von Informationen über HTTPS umgestellt. Die zur Verschlüsselung verwendete mbedTLS-Bibliothek wurde durch wolfSSL ersetzt (bei Bedarf können Sie die weiterhin als Optionen bereitgestellten mbedTLS- und OpenSSL-Bibliotheken manuell installieren). Um die automatische Weiterleitung zu HTTPS zu konfigurieren, bietet das Webinterface die Option „uhttpd.main.redirect_https=1“ an.
- Erste Unterstützung wurde für das DSA-Kernel-Subsystem (Distributed Switch Architecture) implementiert, das Tools zum Konfigurieren und Verwalten von Kaskaden miteinander verbundener Ethernet-Switches bereitstellt und dabei die Mechanismen verwendet, die zur Konfiguration herkömmlicher Netzwerkschnittstellen (iproute2, ifconfig) verwendet werden. DSA kann zur Konfiguration von Ports und VLANs anstelle des zuvor angebotenen swconfig-Tools verwendet werden, allerdings unterstützen noch nicht alle Switch-Treiber DSA. In der vorgeschlagenen Version ist DSA für die Treiber ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) und realtek aktiviert.
- Es wurden Änderungen an der Syntax der Konfigurationsdateien in /etc/config/network vorgenommen. Im Block „config interface“ wurde die Option „ifname“ in „device“ umbenannt und im Block „config device“ wurden die Optionen „bridge“ und „ifname“ in „ports“ umbenannt. Bei Neuinstallationen werden nun separate Dateien mit Einstellungen für Geräte (Layer 2, „config device“-Block) und Netzwerkschnittstellen (Layer 3, „config interface“-Block) generiert. Zur Wahrung der Abwärtskompatibilität bleibt die Unterstützung der alten Syntax erhalten, d. h. Zuvor erstellte Einstellungen erfordern keine Änderungen. In diesem Fall wird in der Weboberfläche, wenn die alte Syntax erkannt wird, ein Vorschlag zur Migration auf die neue Syntax angezeigt, der zum Bearbeiten der Einstellungen über die Weboberfläche erforderlich ist.
Beispiel für die neue Syntax: config device Optionsname „br-lan“ Optionstyp „bridge“ Option macaddr „00:01:02:XX:XX:XX“ Liste der Ports „lan1“ Liste der Ports „lan2“ Liste der Ports „lan3“ list ports 'lan4' config interface 'lan' option device 'br-lan' option proto 'static' option ipaddr '192.168.1.1' option netmask '255.255.255.0' option ip6assign '60' config device option name 'eth1' option macaddr '00 :01:02:YY:YY:YY' Konfigurationsschnittstelle 'WAN' Option Gerät 'eth1' Option Proto 'DHCP' Konfigurationsschnittstelle 'WAN6' Option Gerät 'eth1' Option Proto 'DHCPv6'
Analog zu den Konfigurationsdateien /etc/config/network wurden die Feldnamen in board.json von „ifname“ in „device“ geändert.
- Eine neue „Realtek“-Plattform wurde hinzugefügt, die die Verwendung von OpenWrt auf Geräten mit einer großen Anzahl von Ethernet-Ports ermöglicht, wie z. B. D-Link-, ZyXEL-, ALLNET-, INABA- und NETGEAR-Ethernet-Switches.
- Neue bcm4908- und Rockchip-Plattformen für Geräte hinzugefügt, die auf Broadcom BCM4908- und Rockchip RK33xx-SoCs basieren. Probleme mit der Geräteunterstützung wurden für zuvor unterstützte Plattformen behoben.
- Die Unterstützung der ar71xx-Plattform wurde eingestellt, stattdessen sollte die ath79-Plattform verwendet werden (für Geräte, die auf ar71xx basieren, wird empfohlen, OpenWrt von Grund auf neu zu installieren). Die Unterstützung für die Plattformen cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) und Samsung (SamsungTQ210) wurde ebenfalls eingestellt.
- Ausführbare Dateien von Anwendungen, die an der Verarbeitung von Netzwerkverbindungen beteiligt sind, werden im PIE-Modus (Position-Independent Executables) mit vollständiger Unterstützung für Adressraum-Randomisierung (ASLR) kompiliert, um die Ausnutzung von Schwachstellen in solchen Anwendungen zu erschweren.
- Beim Erstellen des Linux-Kernels sind Optionen zur Unterstützung von Containerisolationstechnologien standardmäßig aktiviert, sodass das LXC-Toolkit und der procd-ujail-Modus in OpenWrt auf den meisten Plattformen verwendet werden können.
- Die Möglichkeit zum Erstellen mit Unterstützung für das SELinux-Zugriffskontrollsystem ist vorhanden (standardmäßig deaktiviert).
- Aktualisierte Paketversionen, einschließlich der vorgeschlagenen Versionen musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, Busybox 1.33.1. Der Linux-Kernel wurde auf Version 5.4.143 aktualisiert, wobei der Wireless-Stack cfg80211/mac80211 vom Kernel 5.10.42 portiert und die Wireguard VPN-Unterstützung portiert wurde.
Source: opennet.ru