In nije wichtige release fan 'e OpenWrt 21.02.0-distribúsje is yntrodusearre, rjochte op gebrûk yn ferskate netwurkapparaten lykas routers, skeakels en tagongspunten. OpenWrt stipet in protte ferskillende platfoarms en arsjitektueren en hat in assemblagesysteem dat ienfâldige en handige cross-kompilaasje mooglik makket, ynklusyf ferskate komponinten yn 'e gearkomste, wat it maklik makket om klearmakke firmware as in skiifôfbylding te meitsjen mei de winske set fan pre- ynstalleare pakketten oanpast foar spesifike taken. Assemblies wurde generearre foar 36 doelplatfoarms.
Under de wizigingen yn OpenWrt 21.02.0 wurde de folgjende opmurken:
- Minimum hardware easken binne ferhege. Yn 'e standertbou fereasket it brûken fan OpenWrt, fanwegen it opnimmen fan ekstra Linux-kernel-subsystemen, no in apparaat mei 8 MB Flash en 64 MB RAM. As jo wolle, kinne jo noch jo eigen stripped-down gearkomste meitsje dy't kin wurkje op apparaten mei 4 MB Flash en 32 MB RAM, mar de funksjonaliteit fan sa'n gearkomste sil beheind wêze, en operaasjestabiliteit wurdt net garandearre.
- It basispakket omfettet pakketten om WPA3-technology foar draadloze netwurkfeiligens te stypjen, dy't no standert beskikber is sawol by it wurkjen yn kliïntmodus as by it meitsjen fan in tagongspunt. WPA3 soarget foar beskerming tsjin oanfallen fan rieden fan wachtwurden (it sil it rieden fan wachtwurden net tastean yn offline modus) en brûkt it SAE-ferifikaasjeprotokol. De mooglikheid om WPA3 te brûken wurdt levere yn de measte bestjoerders foar draadloze apparaten.
- It basispakket omfettet standert stipe foar TLS en HTTPS, wêrtroch jo tagong krije ta de LuCI-webynterface oer HTTPS en nutsfoarsjenningen lykas wget en opkg brûke om ynformaasje oer fersifere kommunikaasjekanalen op te heljen. De servers wêrmei't pakketten ynladen fia opkg wurde ferspraat, wurde ek standert oerskeakele nei it ferstjoeren fan ynformaasje fia HTTPS. De mbedTLS-bibleteek dy't brûkt wurdt foar fersifering is ferfongen troch wolfSSL (as it nedich is, kinne jo de mbedTLS- en OpenSSL-biblioteken manuell ynstalleare, dy't trochgean wurde levere as opsjes). Om automatysk trochstjoere nei HTTPS te konfigurearjen, biedt de webynterface de opsje "uhttpd.main.redirect_https=1".
- Inisjele stipe is ymplementearre foar it kernel-subsysteem DSA (Distributed Switch Architecture), dat ark leveret foar it konfigurearjen en behearen fan kaskaden fan ferbûne Ethernet-switches, mei de meganismen brûkt om konvinsjonele netwurkynterfaces te konfigurearjen (iproute2, ifconfig). DSA kin brûkt wurde om te konfigurearjen havens en VLANs yn plak fan de earder oanbean swconfig ark, mar net alle switch bestjoerders stypje DSA noch. Yn de foarstelde release is DSA ynskeakele foar ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) en realtek-bestjoerders.
- Feroarings binne makke oan de syntaksis fan konfiguraasjetriemmen dy't yn /etc/config/network sitte. Yn it blok "konfiguraasje-ynterface" is de opsje "ifname" omneamd ta "apparaat", en yn it blok "konfiguraasjeapparaat" binne de opsjes "brêge" en "ifname" omneamd ta "poarten". Foar nije ynstallaasjes wurde no aparte triemmen mei ynstellingen foar apparaten (laach 2, "konfiguraasjeapparaat"-blok) en netwurkynterfaces (laach 3, "konfiguraasje-ynterface"-blok) generearre. Om efterútkompatibiliteit te behâlden, wurdt stipe foar de âlde syntaksis behâlden, d.w.s. earder oanmakke ynstellings sille gjin feroarings fereaskje. Yn dit gefal, yn 'e webynterface, as de âlde syntaksis wurdt ûntdutsen, sil in foarstel werjûn wurde om nei de nije syntaksis te migrearjen, wat nedich is om de ynstellings te bewurkjen fia de webynterface.
Foarbyld fan de nije syntaksis: config apparaat opsje namme 'br-lan' opsje type 'brêge' opsje macaddr '00:01:02: XX: XX: XX' list havens 'lan1' list havens 'lan2' list havens 'lan3' list havens 'lan4' config ynterface 'lan' opsje apparaat 'br-lan' opsje proto 'statyske' opsje ipaddr '192.168.1.1' opsje netmasker '255.255.255.0' opsje ip6assign '60' config apparaat opsje namme 'eth1' opsje macaddr '00:01:02:YY:YY:YY' konfiguraasje-ynterface 'wan' opsje apparaat 'eth1' opsje proto 'dhcp' konfiguraasje ynterface 'wan6' opsje apparaat 'eth1' opsje proto 'dhcpv6'
Nei analogy mei de konfiguraasjebestannen /etc/config/network binne de fjildnammen yn board.json feroare fan "ifname" nei "apparaat".
- In nij "realtek" platfoarm is tafoege, wêrtroch OpenWrt kin wurde brûkt op apparaten mei in grut oantal Ethernet-poarten, lykas D-Link, ZyXEL, ALLNET, INABA en NETGEAR Ethernet-skeakels.
- Nije bcm4908- en rockchip-platfoarms tafoege foar apparaten basearre op Broadcom BCM4908 en Rockchip RK33xx SoC's. Problemen mei apparaatstipe binne oplost foar earder stipe platfoarms.
- Stipe foar it ar71xx-platfoarm is stopset, ynstee moat it ath79-platfoarm brûkt wurde (foar apparaten basearre op ar71xx, wurdt it oanrikkemandearre om OpenWrt fanôf it begjin opnij te ynstallearjen). Stipe foar de platfoarms cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) en samsung (SamsungTQ210) platfoarms is ek beëinige.
- Utfierbere triemmen fan applikaasjes belutsen by it ferwurkjen fan netwurkferbiningen wurde kompilearre yn PIE (Position-Independent Executables) modus mei folsleine stipe foar adresromte-randomisaasje (ASLR) om it lestich te meitsjen om kwetsberens yn sokke applikaasjes te eksploitearjen.
- By it bouwen fan 'e Linux-kernel binne opsjes standert ynskeakele om technologyen foar kontenerisolaasje te stypjen, wêrtroch't de LXC-toolkit en procd-ujail-modus kinne wurde brûkt yn OpenWrt op de measte platfoarms.
- De mooglikheid om te bouwen mei stipe foar it SELinux tagongskontrôlesysteem wurdt levere (standert útskeakele).
- Bywurke pakketferzjes, ynklusyf foarstelde releases musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. De Linux kernel is bywurke nei ferzje 5.4.143, porting de cfg80211/mac80211 draadloze stack fan de 5.10.42 kernel en porting Wireguard VPN-stipe.
Boarne: opennet.ru