Er is een nieuwe belangrijke release van de OpenWrt 21.02.0-distributie geïntroduceerd, gericht op gebruik in verschillende netwerkapparaten zoals routers, switches en access points. OpenWrt ondersteunt veel verschillende platforms en architecturen en heeft een assemblagesysteem dat eenvoudige en handige cross-compilatie mogelijk maakt, inclusief verschillende componenten in de assemblage, waardoor het eenvoudig is om kant-en-klare firmware of een schijfkopie te maken met de gewenste set vooraf geïnstalleerde pakketten aangepast voor specifieke taken. Er worden assemblages gegenereerd voor 36 doelplatforms.
Van de wijzigingen in OpenWrt 21.02.0 wordt opgemerkt:
- De minimale hardwarevereisten zijn verhoogd. In de standaardbuild is, vanwege de toevoeging van extra Linux-kernelsubsystemen, het gebruik van OpenWrt nu een apparaat met 8 MB Flash en 64 MB RAM vereist. Als je wilt, kun je nog steeds je eigen uitgeklede assemblage maken die kan werken op apparaten met 4 MB Flash en 32 MB RAM, maar de functionaliteit van een dergelijke assemblage zal beperkt zijn en de werkingsstabiliteit is niet gegarandeerd.
- Het basispakket bevat pakketten ter ondersteuning van de draadloze WPA3-netwerkbeveiligingstechnologie, die nu standaard beschikbaar is, zowel bij het werken in clientmodus als bij het maken van een toegangspunt. WPA3 biedt bescherming tegen aanvallen op het raden van wachtwoorden (het raden van wachtwoorden is niet toegestaan in de offlinemodus) en maakt gebruik van het SAE-authenticatieprotocol. De meeste stuurprogramma's voor draadloze apparaten bieden de mogelijkheid om WPA3 te gebruiken.
- Het basispakket bevat standaard ondersteuning voor TLS en HTTPS, waardoor u via HTTPS toegang krijgt tot de LuCI-webinterface en hulpprogramma's als wget en opkg kunt gebruiken om informatie op te halen via gecodeerde communicatiekanalen. De servers waarmee via opkg gedownloade pakketten worden gedistribueerd, zijn standaard ook overgeschakeld op het verzenden van informatie via HTTPS. De voor de versleuteling gebruikte mbedTLS-bibliotheek is vervangen door wolfSSL (indien nodig kunt u handmatig de mbedTLS- en OpenSSL-bibliotheken installeren, die nog steeds als optie worden geleverd). Om automatisch doorsturen naar HTTPS te configureren, biedt de webinterface de optie “uhttpd.main.redirect_https=1”.
- Er is initiële ondersteuning geïmplementeerd voor het kernelsubsysteem DSA (Distributed Switch Architecture), dat tools biedt voor het configureren en beheren van cascades van onderling verbonden Ethernet-switches, met behulp van de mechanismen die worden gebruikt om conventionele netwerkinterfaces te configureren (iproute2, ifconfig). DSA kan worden gebruikt om poorten en VLAN's te configureren in plaats van de eerder aangeboden swconfig-tool, maar nog niet alle switchdrivers ondersteunen DSA. In de voorgestelde release is DSA ingeschakeld voor ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) en realtek-stuurprogramma's.
- Er zijn wijzigingen aangebracht in de syntaxis van configuratiebestanden in /etc/config/network. In het blok "config interface" is de optie "ifname" hernoemd naar "device", en in het blok "config device" zijn de opties "bridge" en "ifname" hernoemd naar "ports". Voor nieuwe installaties worden nu aparte bestanden met instellingen voor apparaten (laag 2, blok “config device”) en netwerkinterfaces (laag 3, blok “config interface”) gegenereerd. Om de achterwaartse compatibiliteit te behouden, blijft de ondersteuning voor de oude syntaxis behouden, d.w.z. eerder gemaakte instellingen vereisen geen wijzigingen. In dit geval wordt in de webinterface, als de oude syntaxis wordt gedetecteerd, een voorstel weergegeven om naar de nieuwe syntaxis te migreren, wat nodig is om de instellingen via de webinterface te bewerken.
Voorbeeld van de nieuwe syntaxis: config device optienaam 'br-lan' optietype 'bridge' optie macaddr '00:01:02:XX:XX:XX' lijstpoorten 'lan1' lijstpoorten 'lan2' lijstpoorten 'lan3' lijst poorten 'lan4' configuratie-interface 'lan' optie apparaat 'br-lan' optie proto 'statisch' optie ipaddr '192.168.1.1' optie netmasker '255.255.255.0' optie ip6assign '60' configuratie apparaat optie naam 'eth1' optie macaddr '00 :01:02:YY:YY:YY' configuratie-interface 'wan' optie apparaat 'eth1' optie proto 'dhcp' configuratie-interface 'wan6' optie apparaat 'eth1' optie proto 'dhcpv6'
Naar analogie met de configuratiebestanden /etc/config/network zijn de veldnamen in board.json gewijzigd van “ifname” in “device”.
- Er is een nieuw ‘realtek’-platform toegevoegd, waardoor OpenWrt kan worden gebruikt op apparaten met een groot aantal Ethernet-poorten, zoals D-Link, ZyXEL, ALLNET, INABA en NETGEAR Ethernet-switches.
- Nieuwe bcm4908- en rockchip-platforms toegevoegd voor apparaten gebaseerd op Broadcom BCM4908 en Rockchip RK33xx SoC's. Problemen met apparaatondersteuning zijn opgelost voor eerder ondersteunde platforms.
- Ondersteuning voor het ar71xx-platform is stopgezet, in plaats daarvan moet het ath79-platform worden gebruikt (voor apparaten gebaseerd op ar71xx wordt aanbevolen om OpenWrt helemaal opnieuw te installeren). Ondersteuning voor de platforms cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) en samsung (SamsungTQ210) is ook stopgezet.
- Uitvoerbare bestanden van applicaties die betrokken zijn bij het verwerken van netwerkverbindingen worden gecompileerd in PIE-modus (Position-Independent Executables) met volledige ondersteuning voor adresruimterandomisatie (ASLR) om het moeilijk te maken om kwetsbaarheden in dergelijke applicaties te misbruiken.
- Bij het bouwen van de Linux-kernel zijn standaard opties ingeschakeld om containerisolatietechnologieën te ondersteunen, waardoor de LXC-toolkit en procd-ujail-modus op de meeste platforms in OpenWrt kunnen worden gebruikt.
- De mogelijkheid om te bouwen met ondersteuning voor het SELinux toegangscontrolesysteem is aanwezig (standaard uitgeschakeld).
- Bijgewerkte pakketversies, inclusief voorgestelde releases musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. De Linux-kernel is bijgewerkt naar versie 5.4.143, met portering van de cfg80211/mac80211 draadloze stack van de 5.10.42-kernel en portering van Wireguard VPN-ondersteuning.
Bron: opennet.ru