Παρουσιάστηκε μια νέα σημαντική έκδοση της διανομής OpenWrt 21.02.0, η οποία στοχεύει στη χρήση σε διάφορες συσκευές δικτύου όπως δρομολογητές, διακόπτες και σημεία πρόσβασης. Το OpenWrt υποστηρίζει πολλές διαφορετικές πλατφόρμες και αρχιτεκτονικές και διαθέτει ένα σύστημα συναρμολόγησης που επιτρέπει τη διασταυρούμενη μεταγλώττιση να πραγματοποιηθεί απλά και άνετα, συμπεριλαμβανομένων διαφόρων στοιχείων στη διάταξη, γεγονός που καθιστά εύκολη τη δημιουργία έτοιμου υλικολογισμικού ή εικόνας δίσκου με το επιθυμητό σύνολο προεγκατεστημένων πακέτων προσαρμοσμένων για συγκεκριμένες εργασίες. Δημιουργούνται συγκροτήματα για 36 πλατφόρμες-στόχους.
Μεταξύ των αλλαγών στο OpenWrt 21.02.0 σημειώνονται τα ακόλουθα:
- Οι ελάχιστες απαιτήσεις υλικού έχουν αυξηθεί. Στην προεπιλεγμένη έκδοση, λόγω της συμπερίληψης πρόσθετων υποσυστημάτων πυρήνα Linux, η χρήση του OpenWrt απαιτεί πλέον μια συσκευή με 8 MB Flash και 64 MB RAM. Εάν θέλετε, μπορείτε να δημιουργήσετε τη δική σας απογυμνωμένη διάταξη που μπορεί να λειτουργήσει σε συσκευές με 4 MB Flash και 32 MB RAM, αλλά η λειτουργικότητα μιας τέτοιας διάταξης θα είναι περιορισμένη και η σταθερότητα λειτουργίας δεν είναι εγγυημένη.
- Το βασικό πακέτο περιλαμβάνει πακέτα για την υποστήριξη της τεχνολογίας ασφάλειας ασύρματου δικτύου WPA3, η οποία είναι πλέον διαθέσιμη από προεπιλογή τόσο κατά την εργασία σε λειτουργία πελάτη όσο και κατά τη δημιουργία σημείου πρόσβασης. Το WPA3 παρέχει προστασία από επιθέσεις εικασίας κωδικού πρόσβασης (δεν επιτρέπει την εικασία κωδικού πρόσβασης σε λειτουργία εκτός σύνδεσης) και χρησιμοποιεί το πρωτόκολλο ελέγχου ταυτότητας SAE. Η δυνατότητα χρήσης WPA3 παρέχεται στα περισσότερα προγράμματα οδήγησης για ασύρματες συσκευές.
- Το βασικό πακέτο περιλαμβάνει υποστήριξη για TLS και HTTPS από προεπιλογή, το οποίο σας επιτρέπει να έχετε πρόσβαση στη διεπαφή ιστού LuCI μέσω HTTPS και να χρησιμοποιείτε βοηθητικά προγράμματα όπως το wget και το opkg για την ανάκτηση πληροφοριών μέσω κρυπτογραφημένων καναλιών επικοινωνίας. Οι διακομιστές μέσω των οποίων διανέμονται τα πακέτα που λήφθηκαν μέσω opkg μεταβαίνουν επίσης στην αποστολή πληροφοριών μέσω HTTPS από προεπιλογή. Η βιβλιοθήκη mbedTLS που χρησιμοποιείται για την κρυπτογράφηση έχει αντικατασταθεί από το wolfSSL (εάν είναι απαραίτητο, μπορείτε να εγκαταστήσετε με μη αυτόματο τρόπο τις βιβλιοθήκες mbedTLS και OpenSSL, οι οποίες συνεχίζουν να παρέχονται ως επιλογές). Για να διαμορφώσετε την αυτόματη προώθηση σε HTTPS, η διεπαφή ιστού προσφέρει την επιλογή "uhttpd.main.redirect_https=1".
- Η αρχική υποστήριξη έχει υλοποιηθεί για το υποσύστημα πυρήνα DSA (Distributed Switch Architecture), το οποίο παρέχει εργαλεία για τη διαμόρφωση και τη διαχείριση καταρράκτες διασυνδεδεμένων διακοπτών Ethernet, χρησιμοποιώντας τους μηχανισμούς που χρησιμοποιούνται για τη διαμόρφωση συμβατικών διεπαφών δικτύου (iproute2, ifconfig). Το DSA μπορεί να χρησιμοποιηθεί για τη διαμόρφωση θυρών και VLAN στη θέση του εργαλείου swconfig που προσφέρθηκε προηγουμένως, αλλά δεν υποστηρίζουν ακόμη όλα τα προγράμματα οδήγησης μεταγωγέα DSA. Στην προτεινόμενη έκδοση, το DSA είναι ενεργοποιημένο για προγράμματα οδήγησης ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) και realtek.
- Έχουν γίνει αλλαγές στη σύνταξη των αρχείων διαμόρφωσης που βρίσκονται στο /etc/config/network. Στο μπλοκ "config interface", η επιλογή "ifname" έχει μετονομαστεί σε "device" και στο block "config device", οι επιλογές "bridge" και "ifname" έχουν μετονομαστεί σε "ports". Για νέες εγκαταστάσεις, δημιουργούνται πλέον ξεχωριστά αρχεία με ρυθμίσεις για συσκευές (επίπεδο 2, μπλοκ "config συσκευής") και διεπαφές δικτύου (επίπεδο 3, μπλοκ "διασύνδεση διαμόρφωσης"). Για να διατηρηθεί η συμβατότητα προς τα πίσω, η υποστήριξη για την παλιά σύνταξη διατηρείται, π.χ. Οι ρυθμίσεις που δημιουργήθηκαν προηγουμένως δεν απαιτούν αλλαγές. Σε αυτήν την περίπτωση, στη διεπαφή ιστού, εάν εντοπιστεί η παλιά σύνταξη, θα εμφανιστεί μια πρόταση για μετεγκατάσταση στη νέα σύνταξη, η οποία είναι απαραίτητη για την επεξεργασία των ρυθμίσεων μέσω της διεπαφής ιστού.
Παράδειγμα νέας σύνταξης: config όνομα επιλογής συσκευής 'br-lan' επιλογή τύπος 'bridge' επιλογή macaddr '00:01:02:XX:XX:XX' λίστα θύρες 'lan1' list ports 'lan2' list ports 'lan3' λίστα θυρών 'lan4' διεπαφή διαμόρφωσης 'lan' επιλογή συσκευή 'br-lan' επιλογή proto 'static' επιλογή ipaddr '192.168.1.1' επιλογή netmask '255.255.255.0' επιλογή ip6assign '60' όνομα επιλογής συσκευής διαμόρφωσης 'eth1' επιλογή macaddr '00 :01:02:YY:YY:YY' διεπαφή διαμόρφωσης 'wan' επιλογή συσκευή 'eth1' επιλογή proto 'dhcp' διεπαφή διαμόρφωσης 'wan6' επιλογή συσκευή 'eth1' επιλογή πρωτότο 'dhcpv6'
Κατ' αναλογία με τα αρχεία διαμόρφωσης /etc/config/network, τα ονόματα πεδίων στο board.json έχουν αλλάξει από "ifname" σε "device".
- Προστέθηκε μια νέα πλατφόρμα «realtek», η οποία επιτρέπει στο OpenWrt να χρησιμοποιείται σε συσκευές με μεγάλο αριθμό θυρών Ethernet, όπως διακόπτες Ethernet D-Link, ZyXEL, ALLNET, INABA και NETGEAR.
- Προστέθηκαν νέες πλατφόρμες bcm4908 και rockchip για συσκευές που βασίζονται σε Broadcom BCM4908 και Rockchip RK33xx SoC. Τα ζητήματα υποστήριξης συσκευών έχουν επιλυθεί για πλατφόρμες που υποστηριζόταν στο παρελθόν.
- Η υποστήριξη για την πλατφόρμα ar71xx έχει διακοπεί, αντί αυτού θα πρέπει να χρησιμοποιηθεί η πλατφόρμα ath79 (για συσκευές που βασίζονται στο ar71xx, συνιστάται η επανεγκατάσταση του OpenWrt από την αρχή). Η υποστήριξη για τις πλατφόρμες cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) και samsung (SamsungTQ210) έχει επίσης διακοπεί.
- Τα εκτελέσιμα αρχεία των εφαρμογών που εμπλέκονται στην επεξεργασία των συνδέσεων δικτύου μεταγλωττίζονται σε λειτουργία PIE (Position-Independent Executables) με πλήρη υποστήριξη για τυχαιοποίηση χώρου διευθύνσεων (ASLR) για να είναι δύσκολη η εκμετάλλευση των τρωτών σημείων σε τέτοιες εφαρμογές.
- Κατά τη δημιουργία του πυρήνα Linux, οι επιλογές είναι ενεργοποιημένες από προεπιλογή για την υποστήριξη τεχνολογιών απομόνωσης κοντέινερ, επιτρέποντας τη χρήση του κιτ εργαλείων LXC και της λειτουργίας procd-ujail στο OpenWrt στις περισσότερες πλατφόρμες.
- Παρέχεται η δυνατότητα δημιουργίας με υποστήριξη για το σύστημα ελέγχου πρόσβασης SELinux (απενεργοποιημένο από προεπιλογή).
- Ενημερωμένες εκδόσεις πακέτων, συμπεριλαμβανομένων των προτεινόμενων εκδόσεων musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox . Ο πυρήνας Linux έχει ενημερωθεί στην έκδοση 1.33.1, μεταφέροντας την ασύρματη στοίβα cfg5.4.143/mac80211 από τον πυρήνα 80211 και μεταφέροντας την υποστήριξη Wireguard VPN.
Πηγή: opennet.ru