Introduciuse unha nova versión significativa da distribución OpenWrt 21.02.0, destinada ao seu uso en varios dispositivos de rede como enrutadores, conmutadores e puntos de acceso. OpenWrt admite moitas plataformas e arquitecturas diferentes e ten un sistema de montaxe que permite unha compilación cruzada sinxela e cómoda, incluíndo varios compoñentes na montaxe, o que facilita a creación de firmware preparado ou unha imaxe de disco co conxunto desexado de pre-compilación. paquetes instalados adaptados a tarefas específicas. Xéranse conxuntos para 36 plataformas de destino.
Entre os cambios en OpenWrt 21.02.0 nótanse os seguintes:
- Aumentáronse os requisitos mínimos de hardware. Na compilación predeterminada, debido á inclusión de subsistemas adicionais do núcleo de Linux, usar OpenWrt agora require un dispositivo con 8 MB de Flash e 64 MB de RAM. Se o desexa, aínda pode crear o seu propio conxunto reducido que poida funcionar en dispositivos con 4 MB de Flash e 32 MB de RAM, pero a funcionalidade deste conxunto será limitada e non se garante a estabilidade de funcionamento.
- O paquete básico inclúe paquetes para admitir a tecnoloxía de seguridade de rede sen fíos WPA3, que agora está dispoñible de forma predeterminada tanto cando se traballa en modo cliente como cando se crea un punto de acceso. WPA3 ofrece protección contra ataques de adiviñar contrasinal (non permitirá adiviñar contrasinal no modo sen conexión) e usa o protocolo de autenticación SAE. A posibilidade de usar WPA3 ofrécese na maioría dos controladores para dispositivos sen fíos.
- O paquete base inclúe soporte para TLS e HTTPS de forma predeterminada, o que lle permite acceder á interface web LuCI a través de HTTPS e utilizar utilidades como wget e opkg para recuperar información a través de canles de comunicación cifradas. Os servidores a través dos cales se distribúen os paquetes descargados a través de opkg tamén pasan ao envío de información a través de HTTPS por defecto. A biblioteca mbedTLS utilizada para o cifrado foi substituída por wolfSSL (se é necesario, pode instalar manualmente as bibliotecas mbedTLS e OpenSSL, que seguen a ofrecerse como opcións). Para configurar o reenvío automático a HTTPS, a interface web ofrece a opción "uhttpd.main.redirect_https=1".
- Implementouse o soporte inicial para o subsistema do núcleo DSA (Distributed Switch Architecture), que proporciona ferramentas para configurar e xestionar cascadas de conmutadores Ethernet interconectados, utilizando os mecanismos utilizados para configurar interfaces de rede convencionais (iproute2, ifconfig). DSA pódese usar para configurar portos e VLAN en lugar da ferramenta swconfig ofrecida anteriormente, pero aínda non todos os controladores de conmutadores admiten DSA. Na versión proposta, DSA está habilitado para controladores ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) e realtek.
- Realizáronse cambios na sintaxe dos ficheiros de configuración situados en /etc/config/network. No bloque "config interface", a opción "ifname" cambiou o nome a "device" e no bloque "config device" as opcións "bridge" e "ifname" pasáronse a "ports". Para novas instalacións, agora xéranse ficheiros separados con configuracións para dispositivos (capa 2, bloque "config device") e interfaces de rede (capa 3, bloque "config interface"). Para manter a compatibilidade con versións anteriores, mantense o soporte para a sintaxe antiga, é dicir. a configuración creada previamente non precisará cambios. Neste caso, na interface web, se se detecta a sintaxe antiga, amosarase unha proposta de migración á nova sintaxe, necesaria para editar a configuración a través da interface web.
Exemplo da nova sintaxe: config device option name 'br-lan' option type 'bridge' option macaddr '00:01:02:XX:XX:XX' list ports 'lan1' list ports 'lan2' list ports 'lan3' listar portos 'lan4' interface de configuración 'lan' opción dispositivo 'br-lan' opción proto 'estática' opción ipaddr '192.168.1.1' opción máscara de rede '255.255.255.0' opción ip6assign '60' opción de configuración do dispositivo nome 'eth1' opción macaddr '00 :01:02:YY:YY:YY' interface de configuración 'wan' opción dispositivo 'eth1' opción proto 'dhcp' interface de configuración 'wan6' opción dispositivo 'eth1' opción proto 'dhcpv6'
Por analoxía cos ficheiros de configuración /etc/config/network, os nomes dos campos en board.json cambiaron de "ifname" a "device".
- Engadiuse unha nova plataforma "realtek", que permite o uso de OpenWrt en dispositivos cunha gran cantidade de portos Ethernet, como os switches Ethernet D-Link, ZyXEL, ALLNET, INABA e NETGEAR.
- Engadíronse novas plataformas bcm4908 e rockchip para dispositivos baseados nos SoC Broadcom BCM4908 e Rockchip RK33xx. Resolvéronse os problemas de compatibilidade do dispositivo para plataformas compatibles anteriormente.
- O soporte para a plataforma ar71xx descontinuouse, no seu lugar debería utilizarse a plataforma ath79 (para dispositivos baseados en ar71xx, recoméndase reinstalar OpenWrt desde cero). Tamén se suspendeu o soporte para as plataformas cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) e Samsung (SamsungTQ210).
- Os ficheiros executables de aplicacións implicadas no procesamento de conexións de rede recompílanse en modo PIE (Executables independentes da posición) con soporte total para a aleatorización do espazo de enderezos (ASLR) para dificultar a explotación de vulnerabilidades deste tipo de aplicacións.
- Ao construír o núcleo de Linux, as opcións están habilitadas por defecto para admitir tecnoloxías de illamento de contedores, o que permite que o kit de ferramentas LXC e o modo procd-ujail se utilicen en OpenWrt na maioría das plataformas.
- Ofrécese a capacidade de construír con soporte para o sistema de control de acceso SELinux (desactivado por defecto).
- Versións actualizadas do paquete, incluíndo as versións propostas musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. O kernel de Linux actualizouse á versión 5.4.143, portando a pila sen fíos cfg80211/mac80211 desde o kernel 5.10.42 e portando soporte Wireguard VPN.
Fonte: opennet.ru