È stata introdotta una nuova significativa release della distribuzione OpenWrt 21.02.0, destinata all'utilizzo in diversi dispositivi di rete come router, switch e access point. OpenWrt supporta molte piattaforme e architetture diverse e dispone di un sistema di assemblaggio che consente una compilazione incrociata semplice e conveniente, includendo vari componenti nell'assemblaggio, il che rende facile creare firmware già pronti o un'immagine disco con il set desiderato di pre- pacchetti installati adattati per compiti specifici. Gli assembly vengono generati per 36 piattaforme di destinazione.
Tra le novità di OpenWrt 21.02.0 si segnalano le seguenti:
- I requisiti hardware minimi sono stati aumentati. Nella build predefinita, a causa dell'inclusione di sottosistemi aggiuntivi del kernel Linux, l'utilizzo di OpenWrt ora richiede un dispositivo con 8 MB di Flash e 64 MB di RAM. Se lo desideri, puoi comunque creare il tuo gruppo ridotto che possa funzionare su dispositivi con 4 MB di Flash e 32 MB di RAM, ma la funzionalità di tale gruppo sarà limitata e la stabilità operativa non è garantita.
- Il pacchetto base include pacchetti per supportare la tecnologia di sicurezza della rete wireless WPA3, che ora è disponibile per impostazione predefinita sia quando si lavora in modalità client sia quando si crea un punto di accesso. WPA3 fornisce protezione contro gli attacchi di indovinamento della password (non consentirà di indovinare la password in modalità offline) e utilizza il protocollo di autenticazione SAE. La possibilità di utilizzare WPA3 è fornita nella maggior parte dei driver per dispositivi wireless.
- Il pacchetto base include il supporto per TLS e HTTPS per impostazione predefinita, che consente di accedere all'interfaccia Web LuCI su HTTPS e utilizzare utilità come wget e opkg per recuperare informazioni su canali di comunicazione crittografati. Per impostazione predefinita, anche i server attraverso i quali vengono distribuiti i pacchetti scaricati tramite opkg vengono impostati per l'invio di informazioni tramite HTTPS. La libreria mbedTLS utilizzata per la crittografia è stata sostituita da wolfSSL (se necessario è possibile installare manualmente le librerie mbedTLS e OpenSSL, che continuano ad essere fornite come opzioni). Per configurare l'inoltro automatico a HTTPS, l'interfaccia web offre l'opzione “uhttpd.main.redirect_https=1”.
- È stato implementato il supporto iniziale per il sottosistema del kernel DSA (Distributed Switch Architecture), che fornisce strumenti per la configurazione e la gestione di cascate di switch Ethernet interconnessi, utilizzando i meccanismi utilizzati per configurare le interfacce di rete convenzionali (iproute2, ifconfig). DSA può essere utilizzato per configurare porte e VLAN al posto dello strumento swconfig offerto in precedenza, ma non tutti i driver dello switch supportano ancora DSA. Nella versione proposta, DSA è abilitato per i driver ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) e realtek.
- Sono state apportate modifiche alla sintassi dei file di configurazione situati in /etc/config/network. Nel blocco "interfaccia di configurazione", l'opzione "ifname" è stata rinominata in "dispositivo" e nel blocco "dispositivo di configurazione", le opzioni "bridge" e "ifname" sono state rinominate in "porte". Per le nuove installazioni vengono ora generati file separati con le impostazioni per i dispositivi (livello 2, blocco "config device") e le interfacce di rete (livello 3, blocco "config Interface"). Per mantenere la compatibilità con le versioni precedenti, viene mantenuto il supporto per la vecchia sintassi, ad es. le impostazioni create in precedenza non richiederanno modifiche. In questo caso nell'interfaccia web, se viene rilevata la vecchia sintassi, verrà visualizzata una proposta di migrazione alla nuova sintassi, necessaria per modificare le impostazioni tramite l'interfaccia web.
Esempio della nuova sintassi: nome opzione dispositivo di configurazione 'br-lan' tipo opzione 'bridge' opzione macaddr '00:01:02:XX:XX:XX' elenca porte 'lan1' elenca porte 'lan2' elenca porte 'lan3' elenca le porte 'lan4' interfaccia di configurazione 'lan' opzione dispositivo 'br-lan' opzione proto 'statico' opzione ipaddr '192.168.1.1' opzione netmask '255.255.255.0' opzione ip6assign '60' nome opzione dispositivo di configurazione 'eth1' opzione macaddr '00 :01:02:YY:YY:YY' interfaccia di configurazione 'wan' opzione dispositivo 'eth1' opzione proto 'dhcp' interfaccia di configurazione 'wan6' opzione dispositivo 'eth1' opzione proto 'dhcpv6'
Per analogia con i file di configurazione /etc/config/network, i nomi dei campi in board.json sono stati modificati da “ifname” a “device”.
- È stata aggiunta una nuova piattaforma "realtek", che consente di utilizzare OpenWrt su dispositivi con un gran numero di porte Ethernet, come gli switch Ethernet D-Link, ZyXEL, ALLNET, INABA e NETGEAR.
- Aggiunte nuove piattaforme bcm4908 e rockchip per dispositivi basati su SoC Broadcom BCM4908 e Rockchip RK33xx. I problemi di supporto dei dispositivi sono stati risolti per le piattaforme supportate in precedenza.
- Il supporto per la piattaforma ar71xx è stato interrotto, al suo posto dovrebbe essere utilizzata la piattaforma ath79 (per i dispositivi basati su ar71xx, si consiglia di reinstallare OpenWrt da zero). Anche il supporto per le piattaforme cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) e samsung (SamsungTQ210) è stato interrotto.
- I file eseguibili delle applicazioni coinvolte nell'elaborazione delle connessioni di rete sono compilati in modalità PIE (Position-Independent Executables) con supporto completo per la randomizzazione dello spazio degli indirizzi (ASLR) per rendere difficile lo sfruttamento delle vulnerabilità in tali applicazioni.
- Durante la creazione del kernel Linux, le opzioni sono abilitate per impostazione predefinita per supportare le tecnologie di isolamento dei contenitori, consentendo l'utilizzo del toolkit LXC e della modalità procd-ujail in OpenWrt sulla maggior parte delle piattaforme.
- Viene fornita la possibilità di creare con il supporto per il sistema di controllo degli accessi SELinux (disabilitato per impostazione predefinita).
- Versioni aggiornate dei pacchetti, incluse le versioni proposte musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. Il kernel Linux è stato aggiornato alla versione 5.4.143, portando lo stack wireless cfg80211/mac80211 dal kernel 5.10.42 e portando il supporto Wireguard VPN.
Fonte: opennet.ru