En ny betydelig utgivelse av OpenWrt 21.02.0-distribusjonen har blitt introdusert, rettet mot bruk i ulike nettverksenheter som rutere, svitsjer og tilgangspunkter. OpenWrt støtter mange forskjellige plattformer og arkitekturer og har et monteringssystem som muliggjør enkel og praktisk krysskompilering, inkludert ulike komponenter i sammenstillingen, noe som gjør det enkelt å lage ferdiglaget firmware eller et diskbilde med ønsket sett med forhånds- installerte pakker tilpasset spesifikke oppgaver. Forsamlinger genereres for 36 målplattformer.
Blant endringene i OpenWrt 21.02.0 er følgende notert:
- Minimumskravene til maskinvare er økt. I standardbyggingen, på grunn av inkluderingen av flere Linux-kjerneundersystemer, krever bruk av OpenWrt nå en enhet med 8 MB Flash og 64 MB RAM. Hvis du ønsker det, kan du fortsatt lage din egen nedstrippede sammenstilling som kan fungere på enheter med 4 MB Flash og 32 MB RAM, men funksjonaliteten til en slik sammenstilling vil være begrenset, og driftsstabilitet er ikke garantert.
- Grunnpakken inkluderer pakker for å støtte WPA3 trådløs nettverkssikkerhetsteknologi, som nå er tilgjengelig som standard både når du arbeider i klientmodus og når du oppretter et tilgangspunkt. WPA3 gir beskyttelse mot passordgjettingsangrep (det vil ikke tillate passordgjetting i frakoblet modus) og bruker SAE-autentiseringsprotokollen. Muligheten til å bruke WPA3 finnes i de fleste drivere for trådløse enheter.
- Basispakken inkluderer støtte for TLS og HTTPS som standard, som lar deg få tilgang til LuCI-nettgrensesnittet over HTTPS og bruke verktøy som wget og opkg for å hente informasjon over krypterte kommunikasjonskanaler. Serverne som pakker lastet ned via opkg distribueres gjennom, byttes også til å sende informasjon via HTTPS som standard. MbedTLS-biblioteket som brukes til kryptering er erstattet av wolfSSL (om nødvendig kan du manuelt installere mbedTLS- og OpenSSL-bibliotekene, som fortsatt leveres som alternativer). For å konfigurere automatisk videresending til HTTPS, tilbyr nettgrensesnittet alternativet "uhttpd.main.redirect_https=1".
- Innledende støtte er implementert for kjernedelsystemet DSA (Distributed Switch Architecture), som gir verktøy for å konfigurere og administrere kaskader av sammenkoblede Ethernet-svitsjer, ved å bruke mekanismene som brukes til å konfigurere konvensjonelle nettverksgrensesnitt (iproute2, ifconfig). DSA kan brukes til å konfigurere porter og VLAN i stedet for det tidligere tilbudte swconfig-verktøyet, men ikke alle svitsjdrivere støtter DSA ennå. I den foreslåtte utgivelsen er DSA aktivert for ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) og realtek-drivere.
- Det er gjort endringer i syntaksen til konfigurasjonsfilene i /etc/config/network. I "config interface"-blokken har "ifname"-alternativet blitt omdøpt til "device", og i "config device"-blokken har "bridge" og "ifname"-alternativene blitt omdøpt til "ports". For nye installasjoner genereres det nå separate filer med innstillinger for enheter (lag 2, «config device»-blokk) og nettverksgrensesnitt (lag 3, «config interface»-blokk). For å opprettholde bakoverkompatibilitet beholdes støtte for den gamle syntaksen, dvs. tidligere opprettede innstillinger vil ikke kreve endringer. I dette tilfellet, i webgrensesnittet, hvis den gamle syntaksen oppdages, vil et forslag om å migrere til den nye syntaksen vises, som er nødvendig for å redigere innstillingene gjennom webgrensesnittet.
Eksempel på den nye syntaksen: config enhetsalternativnavn 'br-lan' alternativ type 'bridge' alternativ macaddr '00:01:02:XX:XX:XX' listeporter 'lan1' listeporter 'lan2' listeporter 'lan3' liste porter 'lan4' config interface 'lan' alternativ enhet 'br-lan' alternativ proto 'static' alternativ ipaddr '192.168.1.1' alternativ nettmaske '255.255.255.0' alternativ ip6assign '60' config enhet alternativ navn 'eth1' alternativ macaddr '00 :01:02:YY:YY:YY' konfigurasjonsgrensesnitt 'wan' alternativ enhet 'eth1' alternativ proto 'dhcp' konfigurasjonsgrensesnitt 'wan6' alternativ enhet 'eth1' alternativ proto 'dhcpv6'
I analogi med konfigurasjonsfilene /etc/config/network, har feltnavnene i board.json blitt endret fra "ifname" til "device".
- En ny "realtek"-plattform er lagt til, som gjør at OpenWrt kan brukes på enheter med et stort antall Ethernet-porter, slik som D-Link, ZyXEL, ALLNET, INABA og NETGEAR Ethernet-svitsjer.
- Lagt til nye bcm4908 og rockchip-plattformer for enheter basert på Broadcom BCM4908 og Rockchip RK33xx SoCs. Problemer med enhetsstøtte er løst for tidligere støttede plattformer.
- Støtte for ar71xx-plattformen har blitt avviklet, i stedet bør ath79-plattformen brukes (for enheter basert på ar71xx, anbefales det å installere OpenWrt på nytt fra bunnen av). Støtte for plattformene cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) og samsung (SamsungTQ210) er også avviklet.
- Kjørbare filer av applikasjoner som er involvert i prosessering av nettverkstilkoblinger er kompilert i PIE (Position-Independent Executables)-modus med full støtte for adresseromsrandomisering (ASLR) for å gjøre det vanskelig å utnytte sårbarheter i slike applikasjoner.
- Når du bygger Linux-kjernen, er alternativer aktivert som standard for å støtte containerisolasjonsteknologier, slik at LXC-verktøysettet og procd-ujail-modus kan brukes i OpenWrt på de fleste plattformer.
- Muligheten til å bygge med støtte for SELinux-tilgangskontrollsystemet er gitt (deaktivert som standard).
- Oppdaterte pakkeversjoner, inkludert foreslåtte utgivelser musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. Linux-kjernen har blitt oppdatert til versjon 5.4.143, porterer den trådløse cfg80211/mac80211-stakken fra 5.10.42-kjernen og porterer Wireguard VPN-støtte.
Kilde: opennet.ru