En ny betydande version av OpenWrt 21.02.0-distributionen har introducerats, som syftar till användning i olika nätverksenheter som routrar, switchar och accesspunkter. OpenWrt stöder många olika plattformar och arkitekturer och har ett assembleringssystem som gör att korskompilering kan utföras enkelt och bekvämt, inklusive olika komponenter i assembleringen, vilket gör det enkelt att skapa färdig firmware eller en diskavbildning med önskad uppsättning av förinstallerade paket anpassade för specifika uppgifter. Sammansättningar genereras för 36 målplattformar.
Bland ändringarna i OpenWrt 21.02.0 noteras följande:
- Minimikraven på hårdvara har höjts. I standardbygget, på grund av införandet av ytterligare Linux-kärnundersystem, kräver användning av OpenWrt nu en enhet med 8 MB Flash och 64 MB RAM. Om du vill kan du fortfarande skapa din egen avskalade sammansättning som kan fungera på enheter med 4 MB Flash och 32 MB RAM, men funktionaliteten för en sådan sammansättning kommer att vara begränsad och driftstabilitet garanteras inte.
- Grundpaketet innehåller paket för att stödja WPA3 trådlös nätverkssäkerhetsteknik, som nu är tillgänglig som standard både när du arbetar i klientläge och när du skapar en åtkomstpunkt. WPA3 ger skydd mot lösenordsgissningsattacker (det tillåter inte lösenordsgissning i offlineläge) och använder SAE-autentiseringsprotokollet. Möjligheten att använda WPA3 finns i de flesta drivrutiner för trådlösa enheter.
- Baspaketet inkluderar stöd för TLS och HTTPS som standard, vilket gör att du kan komma åt LuCI-webbgränssnittet över HTTPS och använda verktyg som wget och opkg för att hämta information över krypterade kommunikationskanaler. De servrar genom vilka paket som laddas ner via opkg distribueras är också växlade till att skicka information via HTTPS som standard. MbedTLS-biblioteket som används för kryptering har ersatts av wolfSSL (vid behov kan du manuellt installera mbedTLS- och OpenSSL-biblioteken, som fortsätter att tillhandahållas som tillval). För att konfigurera automatisk vidarebefordran till HTTPS erbjuder webbgränssnittet alternativet "uhttpd.main.redirect_https=1".
- Initialt stöd har implementerats för kärndelsystemet DSA (Distributed Switch Architecture), som tillhandahåller verktyg för att konfigurera och hantera kaskader av sammankopplade Ethernet-switchar, med hjälp av de mekanismer som används för att konfigurera konventionella nätverksgränssnitt (iproute2, ifconfig). DSA kan användas för att konfigurera portar och VLAN i stället för det tidigare erbjudna swconfig-verktyget, men inte alla switch-drivrutiner stöder DSA ännu. I den föreslagna versionen är DSA aktiverat för drivrutiner för ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) och realtek.
- Ändringar har gjorts i syntaxen för konfigurationsfiler som finns i /etc/config/network. I "config interface"-blocket har alternativet "ifname" bytt namn till "device", och i "config device"-blocket har alternativen "bridge" och "ifname" bytt namn till "ports". För nya installationer genereras nu separata filer med inställningar för enheter (lager 2, “config device” block) och nätverksgränssnitt (lager 3, “config interface” block). För att bibehålla bakåtkompatibilitet behålls stöd för den gamla syntaxen, d.v.s. tidigare skapade inställningar kräver inga ändringar. I det här fallet, i webbgränssnittet, om den gamla syntaxen upptäcks, kommer ett förslag att migrera till den nya syntaxen att visas, vilket är nödvändigt för att redigera inställningarna via webbgränssnittet.
Exempel på den nya syntaxen: config enhetsalternativnamn 'br-lan' alternativ typ 'bridge' alternativ macaddr '00:01:02:XX:XX:XX' listportar 'lan1' listportar 'lan2' listportar 'lan3' lista portar 'lan4' konfigurationsgränssnitt 'lan' alternativ enhet 'br-lan' alternativ proto 'statisk' alternativ ipaddr '192.168.1.1' alternativ nätmask '255.255.255.0' alternativ ip6assign '60' konfiguration enhet alternativ namn 'eth1' alternativ macaddr '00 :01:02:YY:YY:YY' config interface 'wan' option device 'eth1' option proto 'dhcp' config interface 'wan6' option device 'eth1' option proto 'dhcpv6'
I analogi med konfigurationsfilerna /etc/config/network har fältnamnen i board.json ändrats från "ifname" till "device".
- En ny "realtek"-plattform har lagts till, vilket gör att OpenWrt kan användas på enheter med ett stort antal Ethernet-portar, såsom D-Link, ZyXEL, ALLNET, INABA och NETGEAR Ethernet-switchar.
- Lade till nya bcm4908 och rockchip-plattformar för enheter baserade på Broadcom BCM4908 och Rockchip RK33xx SoCs. Problem med enhetssupport har lösts för tidigare stödda plattformar.
- Stödet för ar71xx-plattformen har upphört, istället ska ath79-plattformen användas (för enheter baserade på ar71xx rekommenderas att installera om OpenWrt från början). Stödet för plattformarna cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) och samsung (SamsungTQ210) har också upphört.
- Körbara filer för applikationer som är involverade i att bearbeta nätverksanslutningar kompileras i PIE-läge (Position-Independent Executables) med fullt stöd för adressrymdsrandomisering (ASLR) för att göra det svårt att utnyttja sårbarheter i sådana applikationer.
- När du bygger Linux-kärnan är alternativen aktiverade som standard för att stödja teknologier för containerisolering, vilket gör att LXC-verktygssatsen och procd-ujail-läget kan användas i OpenWrt på de flesta plattformar.
- Möjligheten att bygga med stöd för åtkomstkontrollsystemet SELinux tillhandahålls (inaktiverad som standard).
- Uppdaterade paketversioner, inklusive föreslagna utgåvor musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. Linux-kärnan har uppdaterats till version 5.4.143, porterar den trådlösa stacken cfg80211/mac80211 från kärnan 5.10.42 och porterar Wireguard VPN-stöd.
Källa: opennet.ru