Bola predstavená nová významná verzia distribúcie OpenWrt 21.02.0 zameraná na použitie v rôznych sieťových zariadeniach, ako sú smerovače, prepínače a prístupové body. OpenWrt podporuje mnoho rôznych platforiem a architektúr a má montážny systém, ktorý umožňuje jednoduchú a pohodlnú krížovú kompiláciu, vrátane rôznych komponentov v zostave, čo uľahčuje vytvorenie hotového firmvéru alebo obrazu disku s požadovanou sadou pred- nainštalované balíky prispôsobené pre konkrétne úlohy. Zostavy sú generované pre 36 cieľových platforiem.
Medzi zmenami v OpenWrt 21.02.0 sú uvedené nasledujúce:
- Minimálne hardvérové požiadavky boli zvýšené. V predvolenom zostavení, kvôli zahrnutiu ďalších podsystémov jadra Linuxu, teraz používanie OpenWrt vyžaduje zariadenie s 8 MB Flash a 64 MB RAM. Ak chcete, stále si môžete vytvoriť vlastnú odizolovanú zostavu, ktorá môže fungovať na zariadeniach so 4 MB Flash a 32 MB RAM, ale funkčnosť takejto zostavy bude obmedzená a stabilita prevádzky nie je zaručená.
- Základný balík obsahuje balíčky na podporu technológie zabezpečenia bezdrôtovej siete WPA3, ktorá je teraz štandardne dostupná ako pri práci v klientskom režime, tak aj pri vytváraní prístupového bodu. WPA3 poskytuje ochranu proti útokom na uhádnutie hesla (neumožní uhádnutie hesla v režime offline) a používa autentifikačný protokol SAE. Schopnosť používať WPA3 je poskytovaná vo väčšine ovládačov pre bezdrôtové zariadenia.
- Základný balík štandardne obsahuje podporu pre TLS a HTTPS, čo vám umožňuje pristupovať k webovému rozhraniu LuCI cez HTTPS a používať nástroje ako wget a opkg na získavanie informácií cez šifrované komunikačné kanály. Servery, cez ktoré sa distribuujú balíky stiahnuté cez opkg, sú tiež štandardne prepnuté na odosielanie informácií cez HTTPS. Knižnica mbedTLS používaná na šifrovanie bola nahradená wolfSSL (v prípade potreby môžete manuálne nainštalovať knižnice mbedTLS a OpenSSL, ktoré sú naďalej dodávané ako voliteľné). Pre konfiguráciu automatického presmerovania na HTTPS ponúka webové rozhranie možnosť „uhttpd.main.redirect_https=1“.
- Počiatočná podpora bola implementovaná pre subsystém jadra DSA (Distributed Switch Architecture), ktorý poskytuje nástroje na konfiguráciu a správu kaskád vzájomne prepojených ethernetových prepínačov pomocou mechanizmov používaných na konfiguráciu konvenčných sieťových rozhraní (iproute2, ifconfig). DSA možno použiť na konfiguráciu portov a sietí VLAN namiesto predtým ponúkaného nástroja swconfig, ale nie všetky ovládače prepínačov zatiaľ podporujú DSA. V navrhovanom vydaní je DSA povolené pre ovládače ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) a realtek.
- Boli vykonané zmeny v syntaxi konfiguračných súborov umiestnených v /etc/config/network. V bloku „config interface“ bola možnosť „ifname“ premenovaná na „device“ a v bloku „config device“ boli možnosti „bridge“ a „ifname“ premenované na „ports“. Pre nové inštalácie sa teraz generujú samostatné súbory s nastaveniami pre zariadenia (vrstva 2, blok „config device“) a sieťové rozhrania (vrstva 3, blok „config interface“). Pre zachovanie spätnej kompatibility je zachovaná podpora pre starú syntax, t.j. predtým vytvorené nastavenia nebudú vyžadovať zmeny. V tomto prípade sa vo webovom rozhraní pri zistení starej syntaxe zobrazí návrh na migráciu na novú syntax, ktorú je potrebné upraviť cez webové rozhranie.
Príklad novej syntaxe: config názov voľby zariadenia 'br-lan' typ voľby 'bridge' voľba macaddr '00:01:02:XX:XX:XX' zoznam portov 'lan1' zoznam portov 'lan2' zoznam portov 'lan3' zoznam portov 'lan4' config interface 'lan' option device 'br-lan' option proto 'static' option ipaddr '192.168.1.1' option netmask '255.255.255.0' option ip6assign '60' config device option name 'eth1' option macaddr '00 :01:02:YY:YY:YY' konfiguračné rozhranie 'wan' voľba zariadenie 'eth1' voľba proto 'dhcp' konfiguračné rozhranie 'wan6' voliteľné zariadenie 'eth1' voľba proto 'dhcpv6'
Analogicky s konfiguračnými súbormi /etc/config/network boli názvy polí v board.json zmenené z „ifname“ na „device“.
- Pribudla nová platforma „realtek“, ktorá umožňuje používať OpenWrt na zariadeniach s veľkým počtom ethernetových portov, ako sú ethernetové prepínače D-Link, ZyXEL, ALLNET, INABA a NETGEAR.
- Pridané nové platformy bcm4908 a rockchip pre zariadenia založené na Broadcom BCM4908 a Rockchip RK33xx SoC. Problémy s podporou zariadení boli vyriešené pre predtým podporované platformy.
- Podpora platformy ar71xx bola ukončená, namiesto nej by sa mala používať platforma ath79 (pre zariadenia založené na ar71xx sa odporúča preinštalovať OpenWrt od začiatku). Podpora pre platformy cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) a samsung (SamsungTQ210) bola tiež ukončená.
- Spustiteľné súbory aplikácií zapojených do spracovania sieťových pripojení sú kompilované v režime PIE (Position-Independent Executables) s plnou podporou pre randomizáciu adresného priestoru (ASLR), aby sa sťažilo využívanie zraniteľností v takýchto aplikáciách.
- Pri zostavovaní linuxového jadra sú možnosti predvolene povolené na podporu technológií izolácie kontajnerov, čo umožňuje použitie súpravy nástrojov LXC a režimu procd-ujail v OpenWrt na väčšine platforiem.
- Schopnosť vytvárať s podporou pre systém kontroly prístupu SELinux je poskytovaná (v predvolenom nastavení vypnutá).
- Aktualizované verzie balíkov vrátane navrhovaných vydaní musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. Linuxové jadro bolo aktualizované na verziu 5.4.143, portovanie bezdrôtového zásobníka cfg80211/mac80211 z jadra 5.10.42 a portovanie podpory Wireguard VPN.
Zdroj: opennet.ru