Une nouvelle version importante de la distribution OpenWrt 21.02.0 a été introduite, destinée à être utilisée dans divers périphériques réseau tels que les routeurs, les commutateurs et les points d'accès. OpenWrt prend en charge de nombreuses plates-formes et architectures différentes et dispose d'un système d'assemblage qui permet d'effectuer une compilation croisée de manière simple et pratique, en incluant divers composants dans l'assemblage, ce qui facilite la création d'un micrologiciel prêt à l'emploi ou d'une image disque avec l'ensemble souhaité. de packages préinstallés adaptés à des tâches spécifiques. Les assemblys sont générés pour 36 plates-formes cibles.
Parmi les changements apportés à OpenWrt 21.02.0, on note les suivants :
- La configuration matérielle minimale requise a été augmentée. Dans la version par défaut, en raison de l'inclusion de sous-systèmes supplémentaires du noyau Linux, l'utilisation d'OpenWrt nécessite désormais un périphérique doté de 8 Mo de mémoire Flash et de 64 Mo de RAM. Si vous le souhaitez, vous pouvez toujours créer votre propre assemblage simplifié pouvant fonctionner sur des appareils dotés de 4 Mo de Flash et de 32 Mo de RAM, mais la fonctionnalité d'un tel assemblage sera limitée et la stabilité de fonctionnement n'est pas garantie.
- Le package de base comprend des packages prenant en charge la technologie de sécurité des réseaux sans fil WPA3, qui est désormais disponible par défaut à la fois lors du travail en mode client et lors de la création d'un point d'accès. WPA3 offre une protection contre les attaques par devinette de mot de passe (il ne permettra pas de deviner le mot de passe en mode hors ligne) et utilise le protocole d'authentification SAE. La possibilité d'utiliser WPA3 est fournie dans la plupart des pilotes pour périphériques sans fil.
- Le package de base inclut la prise en charge de TLS et HTTPS par défaut, ce qui vous permet d'accéder à l'interface Web LuCI via HTTPS et d'utiliser des utilitaires tels que wget et opkg pour récupérer des informations sur des canaux de communication cryptés. Les serveurs via lesquels les packages téléchargés via opkg sont distribués sont également commutés pour envoyer des informations via HTTPS par défaut. La bibliothèque mbedTLS utilisée pour le chiffrement a été remplacée par wolfSSL (si nécessaire, vous pouvez installer manuellement les bibliothèques mbedTLS et OpenSSL, qui continuent d'être fournies en option). Pour configurer le transfert automatique vers HTTPS, l'interface web propose l'option « uhttpd.main.redirect_https=1 ».
- Un premier support a été implémenté pour le sous-système de noyau DSA (Distributed Switch Architecture), qui fournit des outils de configuration et de gestion de cascades de commutateurs Ethernet interconnectés, en utilisant les mécanismes utilisés pour configurer les interfaces réseau conventionnelles (iproute2, ifconfig). DSA peut être utilisé pour configurer des ports et des VLAN à la place de l'outil swconfig proposé précédemment, mais tous les pilotes de commutateur ne prennent pas encore en charge DSA. Dans la version proposée, DSA est activé pour les pilotes ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) et realtek.
- Des modifications ont été apportées à la syntaxe des fichiers de configuration situés dans /etc/config/network. Dans le bloc "config interface", l'option "ifname" a été renommée en "device", et dans le bloc "config device", les options "bridge" et "ifname" ont été renommées en "ports". Pour les nouvelles installations, des fichiers séparés avec les paramètres des appareils (couche 2, bloc « config device ») et des interfaces réseau (couche 3, bloc « config interface ») sont désormais générés. Pour maintenir la compatibilité ascendante, la prise en charge de l'ancienne syntaxe est conservée, c'est-à-dire les paramètres créés précédemment ne nécessiteront aucune modification. Dans ce cas, dans l'interface web, si l'ancienne syntaxe est détectée, une proposition de migration vers la nouvelle syntaxe s'affichera, nécessaire pour modifier les paramètres via l'interface web.
Exemple de la nouvelle syntaxe : nom de l'option de périphérique de configuration 'br-lan' type d'option 'bridge' option macaddr '00:01:02:XX:XX:XX' liste des ports 'lan1' liste des ports 'lan2' liste des ports 'lan3' liste des ports 'lan4' interface de configuration 'lan' option périphérique 'br-lan' option proto 'static' option ipaddr '192.168.1.1' option masque de réseau '255.255.255.0' option ip6assign '60' nom de l'option du périphérique de configuration 'eth1' option macaddr '00 :01:02:YY:YY:YY' interface de configuration 'wan' option périphérique 'eth1' option proto 'dhcp' interface de configuration 'wan6' option périphérique 'eth1' option proto 'dhcpv6'
Par analogie avec les fichiers de configuration /etc/config/network, les noms de champs dans board.json ont été modifiés de « ifname » à « device ».
- Une nouvelle plate-forme "realtek" a été ajoutée, permettant d'utiliser OpenWrt sur des appareils dotés d'un grand nombre de ports Ethernet, tels que les commutateurs Ethernet D-Link, ZyXEL, ALLNET, INABA et NETGEAR.
- Ajout de nouvelles plates-formes bcm4908 et rockchip pour les appareils basés sur les SoC Broadcom BCM4908 et Rockchip RK33xx. Les problèmes de prise en charge des appareils ont été résolus pour les plates-formes précédemment prises en charge.
- La prise en charge de la plate-forme ar71xx a été interrompue, mais la plate-forme ath79 doit être utilisée (pour les appareils basés sur ar71xx, il est recommandé de réinstaller OpenWrt à partir de zéro). La prise en charge des plates-formes cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) et samsung (SamsungTQ210) a également été interrompue.
- Les fichiers exécutables des applications impliquées dans le traitement des connexions réseau sont compilés en mode PIE (Position-Independent Executables) avec une prise en charge complète de la randomisation de l'espace d'adressage (ASLR) pour rendre difficile l'exploitation des vulnérabilités de ces applications.
- Lors de la construction du noyau Linux, les options sont activées par défaut pour prendre en charge les technologies d'isolation de conteneurs, permettant d'utiliser la boîte à outils LXC et le mode procd-ujail dans OpenWrt sur la plupart des plates-formes.
- La possibilité de construire avec la prise en charge du système de contrôle d'accès SELinux est fournie (désactivée par défaut).
- Versions de package mises à jour, y compris les versions proposées musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. Le noyau Linux a été mis à jour vers la version 5.4.143, portant la pile sans fil cfg80211/mac80211 à partir du noyau 5.10.42 et portant le support VPN Wireguard.
Source: opennet.ru