Ներկայացվել է OpenWrt 21.02.0 բաշխման նոր նշանակալի թողարկումը, որն ուղղված է ցանցային տարբեր սարքերում օգտագործելուն, ինչպիսիք են երթուղիչները, անջատիչները և մուտքի կետերը: OpenWrt-ն աջակցում է բազմաթիվ տարբեր հարթակներ և ճարտարապետություններ և ունի հավաքման համակարգ, որը թույլ է տալիս պարզ և հարմարավետ խաչաձև կոմպիլյացիա, ներառյալ հավաքման տարբեր բաղադրիչներ, ինչը հեշտացնում է պատրաստի որոնվածը կամ սկավառակի պատկեր ստեղծելը նախապես ցանկալի փաթեթով: տեղադրված փաթեթներ, որոնք հարմարեցված են հատուկ առաջադրանքների համար: Հավաքները ստեղծվում են 36 թիրախային հարթակների համար:
OpenWrt 21.02.0-ի փոփոխություններից նշվում են հետևյալը.
- Սարքավորման նվազագույն պահանջներն ավելացվել են: Լռելյայն կառուցվածքում, Linux միջուկի լրացուցիչ ենթահամակարգերի ընդգրկման պատճառով, OpenWrt-ի օգտագործման համար այժմ պահանջվում է 8 ՄԲ Flash և 64 ՄԲ օպերատիվ հիշողություն ունեցող սարք: Ցանկության դեպքում, դուք դեռ կարող եք ստեղծել ձեր սեփական հանված հավաքածուն, որը կարող է աշխատել 4 ՄԲ Flash և 32 ՄԲ օպերատիվ հիշողություն ունեցող սարքերի վրա, սակայն նման հավաքույթի ֆունկցիոնալությունը սահմանափակ կլինի, և շահագործման կայունությունը երաշխավորված չէ:
- Հիմնական փաթեթը ներառում է WPA3 անլար ցանցի անվտանգության տեխնոլոգիան աջակցելու փաթեթներ, որն այժմ հասանելի է լռելյայն ինչպես հաճախորդի ռեժիմում աշխատելիս, այնպես էլ մուտքի կետ ստեղծելիս: WPA3-ն ապահովում է պաշտպանություն գաղտնաբառի գուշակման հարձակումներից (այն թույլ չի տա գաղտնաբառի գուշակում անցանց ռեժիմում) և օգտագործում է SAE վավերացման արձանագրությունը: WPA3-ի օգտագործման հնարավորությունն ապահովված է անլար սարքերի վարորդների մեծ մասում:
- Բազային փաթեթը ներառում է լռելյայն աջակցություն TLS-ին և HTTPS-ին, որը թույլ է տալիս մուտք գործել LuCI վեբ ինտերֆեյս HTTPS-ի միջոցով և օգտագործել կոմունալ ծառայություններ, ինչպիսիք են wget-ը և opkg-ը՝ գաղտնագրված կապի ալիքներով տեղեկատվություն ստանալու համար: Սերվերները, որոնց միջոցով բաշխվում են opkg-ի միջոցով ներբեռնված փաթեթները, լռելյայն անցնում են նաև HTTPS-ի միջոցով տեղեկատվություն ուղարկելու: Գաղտնագրման համար օգտագործվող mbedTLS գրադարանը փոխարինվել է wolfSSL-ով (անհրաժեշտության դեպքում կարող եք ձեռքով տեղադրել mbedTLS և OpenSSL գրադարանները, որոնք շարունակում են տրամադրվել որպես ընտրանքներ): HTTPS-ին ավտոմատ վերահասցեավորումը կարգավորելու համար վեբ ինտերֆեյսը առաջարկում է «uhttpd.main.redirect_https=1» տարբերակը:
- Նախնական աջակցությունն իրականացվել է DSA (Distributed Switch Architecture) միջուկի ենթահամակարգի համար, որն ապահովում է գործիքներ փոխկապակցված Ethernet անջատիչների կասկադների կազմաձևման և կառավարման համար՝ օգտագործելով պայմանական ցանցային ինտերֆեյսները կարգավորելու համար օգտագործվող մեխանիզմները (iproute2, ifconfig): DSA-ն կարող է օգտագործվել նավահանգիստները և VLAN-ները կարգավորելու համար նախկինում առաջարկված swconfig գործիքի փոխարեն, սակայն անջատիչի բոլոր դրայվերները դեռևս չեն աջակցում DSA-ին: Առաջարկվող թողարկումում DSA-ն միացված է ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) և realtek վարորդների համար:
- Փոփոխություններ են կատարվել /etc/config/network-ում տեղակայված կազմաձևման ֆայլերի շարահյուսության մեջ: «config interface» բլոկում «ifname» տարբերակը վերանվանվել է «device», իսկ «config device» բլոկում «bridge» և «ifname» տարբերակները վերանվանվել են «ports»: Նոր տեղադրումների համար այժմ ստեղծվում են առանձին ֆայլեր՝ սարքերի (շերտ 2, «կազմաձևման սարք» բլոկ) և ցանցային միջերեսների (շերտ 3, «կազմաձևման ինտերֆեյս» բլոկ) կարգավորումներով: Հետադարձ համատեղելիությունը պահպանելու համար պահպանվում է հին շարահյուսության աջակցությունը, այսինքն. նախկինում ստեղծված կարգավորումները փոփոխություններ չեն պահանջի: Այս դեպքում վեբ ինտերֆեյսում, եթե հայտնաբերվի հին շարահյուսությունը, կցուցադրվի նոր շարահյուսություն տեղափոխելու առաջարկ, որն անհրաժեշտ է վեբ ինտերֆեյսի միջոցով կարգավորումները խմբագրելու համար։
Նոր շարահյուսության օրինակ. կազմաձևման սարքի տարբերակի անունը «br-lan» տարբերակի տեսակը «կամուրջ» տարբերակ macaddr «00:01:02:XX:XX:XX» ցուցակ նավահանգիստներ «lan1» ցուցակ նավահանգիստներ «lan2» ցուցակ նավահանգիստներ «lan3» ցուցակ նավահանգիստներ «lan4» կազմաձևման ինտերֆեյս «lan» տարբերակ սարք «br-lan» օպցիոն պրոտո «ստատիկ» տարբերակ ipaddr «192.168.1.1» տարբերակ ցանցային դիմակ «255.255.255.0» տարբերակ ip6assign «60» կազմաձևման սարքի ընտրանքի անունը «eth1» տարբերակ macaddr '00 :01:02:YY:YY:YY' կազմաձևման ինտերֆեյս 'wan' տարբերակ սարքի 'eth1' տարբերակ պրոտո 'dhcp' կազմաձևման ինտերֆեյս 'wan6' տարբերակ սարքի 'eth1' օպցիոն պրոտո 'dhcpv6'
Կազմաձևման /etc/config/network ֆայլերի համեմատությամբ board.json-ում դաշտերի անվանումները «ifname»-ից փոխվել են «device»-ի:
- Ավելացվել է նոր «realtek» հարթակ, որը թույլ է տալիս OpenWrt-ին օգտագործել մեծ թվով Ethernet պորտեր ունեցող սարքերում, ինչպիսիք են D-Link, ZyXEL, ALLNET, INABA և NETGEAR Ethernet անջատիչներ:
- Ավելացվել են նոր bcm4908 և rockchip հարթակներ Broadcom BCM4908 և Rockchip RK33xx SoC-ների վրա հիմնված սարքերի համար: Սարքի աջակցման խնդիրները լուծվել են նախկինում աջակցվող հարթակների համար:
- Ar71xx պլատֆորմի աջակցությունը դադարեցվել է, փոխարենը պետք է օգտագործվի ath79 հարթակը (ar71xx-ի վրա հիմնված սարքերի համար խորհուրդ է տրվում զրոյից նորից տեղադրել OpenWrt): Cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) և samsung (SamsungTQ210) հարթակների աջակցությունը նույնպես դադարեցվել է։
- Ցանցային կապերի մշակման մեջ ներգրավված հավելվածների գործարկվող ֆայլերը կազմվում են PIE (Position-Independent Executables) ռեժիմում՝ հասցեների տարածքի պատահականացման (ASLR) ամբողջական աջակցությամբ՝ դժվարացնելու համար նման հավելվածներում խոցելիության օգտագործումը:
- Linux միջուկը կառուցելիս ընտրանքները լռելյայն միացված են՝ աջակցելու կոնտեյների մեկուսացման տեխնոլոգիաներին, ինչը թույլ է տալիս LXC գործիքակազմը և procd-ujail ռեժիմը օգտագործել OpenWrt-ում շատ հարթակներում:
- SELinux մուտքի վերահսկման համակարգի աջակցությամբ կառուցելու հնարավորությունն ապահովված է (կանխադրված անջատված է):
- Փաթեթի թարմացված տարբերակները, ներառյալ առաջարկվող թողարկումները musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox .1.33.1. Linux միջուկը թարմացվել է մինչև 5.4.143 տարբերակ՝ տեղափոխելով cfg80211/mac80211 անլար փաթեթը 5.10.42 միջուկից և տեղափոխելով Wireguard VPN աջակցություն:
Source: opennet.ru