Se ha introducido una nueva versión importante de la distribución OpenWrt 21.02.0, destinada a su uso en diversos dispositivos de red, como enrutadores, conmutadores y puntos de acceso. OpenWrt admite muchas plataformas y arquitecturas diferentes y tiene un sistema de ensamblaje que permite realizar una compilación cruzada de manera simple y conveniente, incluyendo varios componentes en el ensamblaje, lo que facilita la creación de firmware listo para usar o una imagen de disco con el conjunto deseado. de paquetes preinstalados adaptados para tareas específicas. Se generan ensamblajes para 36 plataformas de destino.
De los cambios en OpenWrt 21.02.0, se destaca:
- Se han aumentado los requisitos mínimos de hardware. En la compilación predeterminada, debido a la inclusión de subsistemas adicionales del kernel de Linux, el uso de OpenWrt ahora requiere un dispositivo con 8 MB de Flash y 64 MB de RAM. Si lo desea, aún puede crear su propio ensamblaje simplificado que pueda funcionar en dispositivos con 4 MB de Flash y 32 MB de RAM, pero la funcionalidad de dicho ensamblaje será limitada y la estabilidad del funcionamiento no está garantizada.
- El paquete básico incluye paquetes para admitir la tecnología de seguridad de red inalámbrica WPA3, que ahora está disponible de forma predeterminada tanto cuando se trabaja en modo cliente como cuando se crea un punto de acceso. WPA3 brinda protección contra ataques de adivinación de contraseñas (no permitirá adivinar contraseñas en modo fuera de línea) y utiliza el protocolo de autenticación SAE. La capacidad de utilizar WPA3 se proporciona en la mayoría de los controladores para dispositivos inalámbricos.
- El paquete básico incluye soporte para TLS y HTTPS de forma predeterminada, lo que le permite acceder a la interfaz web de LuCI a través de HTTPS y utilizar utilidades como wget y opkg para recuperar información a través de canales de comunicación cifrados. Los servidores a través de los cuales se distribuyen los paquetes descargados a través de opkg también pasan a enviar información a través de HTTPS de forma predeterminada. La biblioteca mbedTLS utilizada para el cifrado ha sido reemplazada por wolfSSL (si es necesario, puede instalar manualmente las bibliotecas mbedTLS y OpenSSL, que continúan proporcionándose como opciones). Para configurar el reenvío automático a HTTPS, la interfaz web ofrece la opción “uhttpd.main.redirect_https=1”.
- Se ha implementado soporte inicial para el subsistema del kernel DSA (Distributed Switch Architecture), que proporciona herramientas para configurar y gestionar cascadas de conmutadores Ethernet interconectados, utilizando los mecanismos utilizados para configurar interfaces de red convencionales (iproute2, ifconfig). DSA se puede utilizar para configurar puertos y VLAN en lugar de la herramienta swconfig ofrecida anteriormente, pero no todos los controladores de conmutador son compatibles con DSA todavía. En la versión propuesta, DSA está habilitado para los controladores ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) y realtek.
- Se han realizado cambios en la sintaxis de los archivos de configuración ubicados en /etc/config/network. En el bloque "interfaz de configuración", la opción "ifname" pasó a llamarse "dispositivo", y en el bloque "dispositivo de configuración", las opciones "puente" e "ifname" pasaron a llamarse "puertos". Para nuevas instalaciones, ahora se generan archivos separados con configuraciones para dispositivos (capa 2, bloque "dispositivo de configuración") e interfaces de red (capa 3, bloque "interfaz de configuración"). Para mantener la compatibilidad con versiones anteriores, se conserva la compatibilidad con la sintaxis anterior, es decir. Las configuraciones creadas previamente no requerirán cambios. En este caso, en la interfaz web, si se detecta la sintaxis antigua, se mostrará una propuesta para migrar a la nueva sintaxis, lo cual es necesario para editar la configuración a través de la interfaz web.
Ejemplo de la nueva sintaxis: configuración nombre de opción de dispositivo 'br-lan' tipo de opción 'puente' opción macaddr '00:01:02:XX:XX:XX' lista de puertos 'lan1' lista de puertos 'lan2' lista de puertos 'lan3' enumerar puertos 'lan4' interfaz de configuración 'lan' opción dispositivo 'br-lan' opción proto 'estático' opción ipaddr '192.168.1.1' opción máscara de red '255.255.255.0' opción ip6assign '60' configuración dispositivo nombre de opción 'eth1' opción macaddr '00 :01:02:YY:YY:YY' interfaz de configuración 'wan' opción dispositivo 'eth1' opción proto 'dhcp' interfaz de configuración 'wan6' opción dispositivo 'eth1' opción proto 'dhcpv6'
Por analogía con los archivos de configuración /etc/config/network, los nombres de los campos en board.json se han cambiado de "ifname" a "device".
- Se ha agregado una nueva plataforma "realtek", que permite utilizar OpenWrt en dispositivos con una gran cantidad de puertos Ethernet, como conmutadores Ethernet D-Link, ZyXEL, ALLNET, INABA y NETGEAR.
- Se agregaron nuevas plataformas bcm4908 y rockchip para dispositivos basados en los SoC Broadcom BCM4908 y Rockchip RK33xx. Se han resuelto los problemas de compatibilidad con dispositivos para plataformas compatibles anteriormente.
- Se suspendió el soporte para la plataforma ar71xx, en su lugar se debe usar la plataforma ath79 (para dispositivos basados en ar71xx, se recomienda reinstalar OpenWrt desde cero). También se ha interrumpido el soporte para las plataformas cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) y samsung (SamsungTQ210).
- Los archivos ejecutables de las aplicaciones involucradas en el procesamiento de conexiones de red se compilan en modo PIE (ejecutables independientes de la posición) con soporte total para la aleatorización del espacio de direcciones (ASLR) para dificultar la explotación de vulnerabilidades en dichas aplicaciones.
- Al compilar el kernel de Linux, las opciones están habilitadas de forma predeterminada para admitir tecnologías de aislamiento de contenedores, lo que permite utilizar el kit de herramientas LXC y el modo procd-ujail en OpenWrt en la mayoría de las plataformas.
- Se proporciona la capacidad de construir con soporte para el sistema de control de acceso SELinux (deshabilitado de forma predeterminada).
- Versiones de paquetes actualizadas, incluidas las versiones propuestas musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, Busybox 1.33.1. El kernel de Linux se actualizó a la versión 5.4.143, trasladando la pila inalámbrica cfg80211/mac80211 del kernel 5.10.42 y trasladando la compatibilidad con Wireguard VPN.
Fuente: opennet.ru