Foi introduzida uma nova versão significativa da distribuição OpenWrt 21.02.0, destinada ao uso em diversos dispositivos de rede, como roteadores, switches e pontos de acesso. OpenWrt suporta diversas plataformas e arquiteturas e possui um sistema de montagem que permite realizar a compilação cruzada de forma simples e prática, incluindo diversos componentes na montagem, o que facilita a criação de firmware pronto ou imagem de disco com o conjunto desejado de pacotes pré-instalados adaptados para tarefas específicas. Os assemblies são gerados para 36 plataformas de destino.
Entre as mudanças no OpenWrt 21.02.0 destacam-se as seguintes:
- Os requisitos mínimos de hardware foram aumentados. Na compilação padrão, devido à inclusão de subsistemas adicionais do kernel Linux, o uso do OpenWrt agora requer um dispositivo com 8 MB de Flash e 64 MB de RAM. Se desejar, você ainda pode criar sua própria montagem simplificada que pode funcionar em dispositivos com 4 MB de Flash e 32 MB de RAM, mas a funcionalidade de tal montagem será limitada e a estabilidade operacional não será garantida.
- O pacote básico inclui pacotes para suportar a tecnologia de segurança de rede sem fio WPA3, que agora está disponível por padrão tanto ao trabalhar no modo cliente quanto ao criar um ponto de acesso. WPA3 fornece proteção contra ataques de adivinhação de senha (não permitirá adivinhação de senha no modo offline) e usa o protocolo de autenticação SAE. A capacidade de usar WPA3 é fornecida na maioria dos drivers para dispositivos sem fio.
- O pacote básico inclui suporte para TLS e HTTPS por padrão, o que permite acessar a interface LuCI Web por HTTPS e usar utilitários como wget e opkg para recuperar informações por meio de canais de comunicação criptografados. Os servidores através dos quais os pacotes baixados via opkg são distribuídos também passam a enviar informações via HTTPS por padrão. A biblioteca mbedTLS usada para criptografia foi substituída pela wolfSSL (se necessário, você pode instalar manualmente as bibliotecas mbedTLS e OpenSSL, que continuam sendo fornecidas como opções). Para configurar o encaminhamento automático para HTTPS, a interface web oferece a opção “uhttpd.main.redirect_https=1”.
- Foi implementado suporte inicial para o subsistema de kernel DSA (Distributed Switch Architecture), que fornece ferramentas para configuração e gerenciamento de cascatas de switches Ethernet interconectados, utilizando os mecanismos usados para configurar interfaces de rede convencionais (iproute2, ifconfig). O DSA pode ser usado para configurar portas e VLANs no lugar da ferramenta swconfig oferecida anteriormente, mas nem todos os drivers de switch ainda oferecem suporte ao DSA. Na versão proposta, o DSA está habilitado para drivers ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) e realtek.
- Foram feitas alterações na sintaxe dos arquivos de configuração localizados em /etc/config/network. No bloco "config interface", a opção "ifname" foi renomeada para "device", e no bloco "config device", as opções "bridge" e "ifname" foram renomeadas para "ports". Para novas instalações, agora são gerados arquivos separados com configurações de dispositivos (camada 2, bloco “config device”) e interfaces de rede (camada 3, bloco “config interface”). Para manter a compatibilidade com versões anteriores, o suporte para a sintaxe antiga é mantido, ou seja, as configurações criadas anteriormente não exigirão alterações. Neste caso, na interface web, caso seja detectada a sintaxe antiga, será exibida uma proposta de migração para a nova sintaxe, necessária para editar as configurações através da interface web.
Exemplo da nova sintaxe: nome da opção do dispositivo de configuração 'br-lan' tipo de opção 'bridge' opção macaddr '00:01:02:XX:XX:XX' listar portas 'lan1' listar portas 'lan2' listar portas 'lan3' listar portas 'lan4' interface de configuração 'lan' opção dispositivo 'br-lan' opção proto 'static' opção ipaddr '192.168.1.1' opção netmask '255.255.255.0' opção ip6assign '60' nome da opção do dispositivo de configuração 'eth1' opção macaddr '00 :01:02:YY:YY:YY' interface de configuração 'wan' opção dispositivo 'eth1' opção proto 'dhcp' interface de configuração 'wan6' opção dispositivo 'eth1' opção proto 'dhcpv6'
Por analogia com os arquivos de configuração /etc/config/network, os nomes dos campos em board.json foram alterados de “ifname” para “device”.
- Uma nova plataforma "realtek" foi adicionada, permitindo que o OpenWrt seja usado em dispositivos com um grande número de portas Ethernet, como switches Ethernet D-Link, ZyXEL, ALLNET, INABA e NETGEAR.
- Adicionadas novas plataformas bcm4908 e rockchip para dispositivos baseados em SoCs Broadcom BCM4908 e Rockchip RK33xx. Os problemas de suporte de dispositivos foram resolvidos para plataformas suportadas anteriormente.
- O suporte para a plataforma ar71xx foi descontinuado, em vez disso a plataforma ath79 deve ser usada (para dispositivos baseados em ar71xx, é recomendado reinstalar o OpenWrt do zero). O suporte para as plataformas cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) e samsung (SamsungTQ210) também foi descontinuado.
- Arquivos executáveis de aplicativos envolvidos no processamento de conexões de rede são compilados no modo PIE (Position-Independent Executables) com suporte total para randomização de espaço de endereço (ASLR) para dificultar a exploração de vulnerabilidades em tais aplicativos.
- Ao construir o kernel Linux, as opções são habilitadas por padrão para suportar tecnologias de isolamento de contêiner, permitindo que o kit de ferramentas LXC e o modo procd-ujail sejam usados no OpenWrt na maioria das plataformas.
- A capacidade de construir com suporte para o sistema de controle de acesso SELinux é fornecida (desativada por padrão).
- Versões de pacotes atualizadas, incluindo versões propostas musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. O kernel Linux foi atualizado para a versão 5.4.143, portando a pilha sem fio cfg80211/mac80211 do kernel 5.10.42 e portando o suporte VPN Wireguard.
Fonte: opennet.ru