+7 (965) 341-41-38Прошивка EdgeMAX EdgeRouter Firmware v.2.0.9
Важно:
- ER-X/ER-X-SFP/ER-10X/EP-R6 имеет более ограниченное хранилище, и в некоторых случаях обновление может завершиться неудачно из-за нехватки места. В этом случае сначала удалите старый образ резервной копии (с помощью команды CLI удалить системный образ, см. здесь (https://help.ubnt.com/hc/en-us/articles/205146110-EdgeMAX-Upgrading-EdgeOS-firmware) для получения дополнительных сведений) перед выполнением обновления.
- Более подробную информацию можно найти в примечаниях ниже.
Улучшения:
Добавлены анонимные отчеты о сбоях и аналитические отчеты, которые по умолчанию отключены. Если вы хотите включить/выключить эти функции, необходимо выполнить следующие команды в CLI:
configure
set system analytics-handler send-analytics-report true/false
set system crash-handler send-crash-report true/false
commit
save
ПРИМЕЧАНИЕ. Мы были бы признательны, если Вы решите включить отчеты о сбоях и аналитику, поскольку:
(а) Все данные на 100% анонимны и не содержат конфиденциальной информации (т.е. без IP-адресов, без MAC-адресов и без ключей/паролей)
(б) Эти анонимные данные помогут нам сделать EdgeOS лучше, потому что это очень ценный источник информации о том, какие функции маршрутизации работают неправильно и как ER используются в реальной среде (например, загрузка ЦП, количество интерфейсов, количество маршрутов и т. д. .)
Добавлена кнопка обновления прошивки в WebGUI. Эта кнопка будет показывать, когда доступна новая стабильная прошивка. При нажатии этой кнопки будет запущен процесс обновления.
Добавлено надоедливое всплывающее окно в WebGUI, где администратора просят разрешить или запретить аналитику и отчеты о сбоях. Описание и образцы данных доступны здесь -> https://help.ui.com/hc/en-us/articles/360051176734
Добавлена кнопка «Factory Reset» в WebGUI:
Добавлена новая команда CLI «add system image» для автоматической загрузки и установки последней стабильной прошивки:
ubnt@erx:~$ add system image
Fetching version number of latest firmware... ok
> version : v2.0.8
> url : https://fw-download.ubnt.com/data/e50/df20-edgerouter-2.0.8-d52c6e913e2246de9f5f79a15291fba2.tar
> md5 : 2b6b7a8ceb87371d81a6549d1cab61fe
> state: up-to-date
Current firmware is already up-to-date (!!!)
Version [v2.0.8.5247496.191120.1124-1] is about to be replaced
Are you sure you want to replace old version? (Yes/No) [Yes]:
Уменьшен размер образа прошивки, убрана зависимость от libxml, исключение ее привело к уменьшению размера образа прошивки на ~ 10Мб.
ПРИМЕЧАНИЕ: если устанавливается стороннее программное обеспечение, которое зависит от libxml, необходимо установить libxml самостоятельно.
Уменьшено использование оперативной памяти, путем отключения ведения журнала systemd (обсуждается здесь (https://community.ui.com/releases/EdgeMAX-EdgeRouter-Beta-Firmware-v2-0-9-beta-2/bc4303d9-65f6-44ac-a293-b6b7f776f28c#comment/71e8d0da-32f4-47fb-a2c1-694d0b9ac6f9)) и добавлены новые записи конфигурации для управления журналированием systemd при необходимости:
set system systemd journal ...
Добавлен новый клиентский интерфейс удаленного доступа L2TP VPN, который устанавливает соединение VPN с внешним сервером удаленного доступа L2TP VPN. Например, в следующем примере создается интерфейс точка-точка l2tpc0 по отношению к серверу L2TP 192.168.11.1:
Создание интерфейса l2tpc0:
set interfaces l2tp-client l2tpc0 authentication user-id ubnt
set interfaces l2tp-client l2tpc0 authentication password ubnt
set interfaces l2tp-client l2tpc0 mtu 1400
set interfaces l2tp-client l2tpc0 server-ip 192.168.11.1
set interfaces l2tp-client l2tpc0 require-ipsec
Привязка интерфейса l2tpc0 к туннелю IPSec:
set vpn ipsec esp-group FOO0 pfs disable
set vpn ipsec esp-group FOO0 mode transport
set vpn ipsec esp-group FOO0 proposal 1 encryption aes256
set vpn ipsec esp-group FOO0 proposal 1 hash sha1
set vpn ipsec ike-group FOO0 dead-peer-detection action restart
set vpn ipsec ike-group FOO0 proposal 1 encryption aes128
set vpn ipsec ike-group FOO0 proposal 1 hash sha1
set vpn ipsec site-to-site peer 192.168.11.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 192.168.11.1 authentication pre-shared-secret ubnt
set vpn ipsec site-to-site peer 192.168.11.1 ike-group FOO0
set vpn ipsec site-to-site peer 192.168.11.1 local-address default
set vpn ipsec site-to-site peer 192.168.11.1 tunnel 1 esp-group FOO0
set vpn ipsec site-to-site peer 192.168.11.1 tunnel 1 local port l2tp
set vpn ipsec site-to-site peer 192.168.11.1 tunnel 1 protocol udp
set vpn ipsec site-to-site peer 192.168.11.1 tunnel 1 remote port l2tp
Включите плагин connmark в strongswan, чтобы разрешить соединение от нескольких клиентов L2TP-VPN через один NAT (обсуждается здесь (https://community.ubnt.com/t5/EdgeMAX/Mulitple-remote-access-L2TP-ipsec-VPN-client-behind-the-same-NAT/m-p/1493835#M99637)). По умолчанию connmark отключен, и его необходимо включить из интерфейса командной строки с помощью следующей команды:
set vpn l2tp remote-access allow-multiple-clients-from-same-nat enable
ПРИМЕЧАНИЕ. Connmark отключен по умолчанию, потому что при его включении обнаружились две проблемы:
- connmark работает некорректно, если NAT не настроен
- connmark работает некорректно, если TrafficShaping настроен в UNMS
[UNMS] - Добавлена поддержка «unlimited queues» и «dynamic wan interface» в UNMS QoS.
[DPI] - Обновлена база данных сигнатур DPI до версии 1.564
[Performance] Улучшена производительность пересылки на всех моделях ER при отключенной разгрузке (аппаратном ускорении) ---> + 30% в сценарии простого NAT, + 10% в сценарии QoS/NetFlow по сравнению с v2.0.8.
[Performance] Повышена производительность IPsec на ER-X/ER-X-SFP/ER-10X/EP-R6 при включенной разгрузке (offloading) ---> + 10% по сравнению с v2.0.8.
[PPPoE] - Увеличен размер пула IP-адресов клиентов PPPoE с 256 до 1024.
[CLI] - Обновлено приветственное сообщение CLI, чтобы оно соответствовало другим продуктам Edge.
[Security] - Теперь текущая конфигурация, личные файлы пользователей и резервный образ прошивки будут безвозвратно удалены при восстановлении заводских настроек через CLI/WebGUI/UNMS. Ранее резервный образ прошивки использовался для восстановления заводских настроек
Исправление ошибок:
[WebGUI] - Исправлена ошибка, когда WebGUI показывал неправильные счетчики RX/TX на eth0 ~ eth7, когда включена разгрузка (offloading) ipv4.
[WebGUI] - Исправлена регрессия по сравнению с v2.0.0, когда инструмент измерения пропускной способности в WebGUI не работал вообще.
[WebGUI] - Исправлена ошибка в WebGUI, когда статус UNMS навсегда оставался в состоянии «подключение».
[WebGUI] - Исправлена ошибка в WebGUI, когда некоторые инструменты не отображали никаких выходных данных (пинг, трассировка, журнал, захват, пропускная способность).
[WebGUI] - Исправлена ошибка, при которой WebGUI случайным образом вылетал из-за того, что lighttpd зависал со 100% загрузкой ЦП. lighttpd обновлен до версии 1.4.55.
[WebGUI] - Исправлена ошибка в WebGUI, когда статистика брандмауэра была пустой в течение первых 30 секунд.
[UNMS] - Исправлена ошибка, из-за которой не удавалось отключить QoS из UNMS.
[UNMS] - Удалены сторонние пакеты DEB из файла резервной копии при создании резервной копии ER из UNMS. Это сделано для того, чтобы уменьшить размер файлов резервных копий, потому что UNMS делает их очень часто.
[UNMS] - Исправлена неправильная цветовая индикация светодиода, когда UNMS не настроен.
[UNMS] - Исправлена ошибка, из-за которой UNMS иногда не устанавливал первоначальное соединение с ER.
[UNMS] - Исправлена ошибка, когда при привязке к отсутствующим интерфейсам PPPoE происходил сбой QoS UNMS.
[UNMS] - Исправлена утечка памяти в процессе udapi-bridge, когда ER подключена к UNMS.
[UNMS] - Исправлена редкая некорректная синхронизация конфигурации между ER и UNMS, вызывавшая случайные ошибки при настройке через UNMS.
[SFP] - Исправлена ошибка, при которой порт SFP не мог обрабатывать пакеты после перезагрузки.
[SFP] - Исправлена ошибка, из-за которой некоторые модули SFP ошибочно сообщали об ошибке передачи.
[SFP] - Исправлена ошибка, при которой интерфейс SFP переставал работать, если интерфейс Ethernet терял связь на ER-12.
[SFP] - Исправлена ошибка, из-за которой статистика в WebGUI зависала, если модуль SFP ведет отвечал мусором вместо действительных данных sfp.
[Offloading] - исправлены случайные зависания при включении разгрузки hwnat на ER-X/ER-X-SFP.
[Packages] - Восстановлен встроенный пакета etherwake, который был удален с прошивки v2.0.0.
[PPPoE/L2TP/PPP] - Устранена уязвимость переполнения буфера в демоне pppd (CVE-2020-8597)
[OSPF] - Исправлена ошибка, когда соседи OSPF исчезали после переключения интерфейса, если сеть OSPF имела маску /32.
[CLI] - Исправлена ошибка, из-за которой при добавлении образа системы команда CLI не отображала запрос «да/нет», если не было резервного образа прошивки.
[CLI] - Исправлена ошибка, возникающая при сбое в команде «switch pvid dump» оболочки на ER-X.
[BGP] - Исправлена ошибка, когда заблокированный префикс BGP «утекал» к соседям при применении большой конфигурации BGP.
[SNMP] - Исправлены ошибки «unknown notification OID» и «Unknown token: monitor» в системном журнале при настройке SNMP.
[SNMP] - Исправлена ошибка, когда SNMP флудил "error on subcontainer ia_addr insert" в системный журнал.
[SNMP] - Исправлена ошибка флуда SNMP «cannot get stats strings information for interfaceа» в системный журнал на ER-X.
[LoadBalancing] - Исправлена ошибка, из-за которой балансировка нагрузки могла не выполняться, если интерфейс WAN получал новый адрес DHCP.
[PPPoE] - Устранена уязвимость RCE в pppoe-server при использовании настраиваемого скрипта radius-disconnect.
[PPPoE] - Исправлено сбивающее с толку сообщение системного журнала «PADT: Generic-Error: xxxx» при отключении клиента PPPoE.
[DDNS] - Устранена потенциальная уязвимость раскрытия конфигурации DDNS, если настроено несколько поставщиков динамического DNS.
[PPTP] - Не загружается модуль nf_nat_pptp во время загрузки, если он действительно не используется.
[IGMP] - Обновлен igmp-прокси для устранения множества проблем с зависанием/отключением IPTV.
[System] - Добавлена поддержка ethtool для моделей ER-X/ER-X-SFP/ER-10X.
[VPN] - Исправлена ошибка, из-за которой демон L2TP-VPN иногда падал, если интерфейс WAN обновлял аренду DHCP.
[IPv6] - Исправлена ошибка со сбоем radvd при загрузке конфигурации с большим количеством VLANS (10+).
[IPv6] - Исправлена ошибка, из-за которой PD не запускался, если диапазон prefix6 выходил за пределы заявленной подсети.
[IPv6] - Добавлена функция статического сопоставления для IPv6 PD, чтобы служба dhcp-statefull могла иметь статически сопоставленные узлы.
[OSPFv3] - Исправлена регрессия по сравнению с v2.0.7, когда OSPFv3 прекращал добавлять полученные маршруты в RIB.
[OSPFv3] - Исправлена ошибка, приводившая к сбою при перераспределении маршрутов OSPFv3 через BGP.
[QoS] - Исправлена ошибка, когда размер пакета (burst-size) приводил к снижению производительности при настройке в UNMS.
[Interfaces] - Добавлена недостающая конфигурация межсетевого экрана для интерфейсов switch0.pppoe и switch0.vif.pppoe.
[Interfaces] - Исправлена ошибка, когда интерфейс VLAN с MTU <1280 вызывал ошибку «Commit Failed».
[Interfaces] - Исправлена ошибка, при которой пакеты с неправильным MAC-адресом «утекали» в WAN, если была включена разгрузка на ER-X.
[Interfaces] - Исправлена ошибка, когда на коммутируемом порте ER-12/ER-12P счетчики TX/RX сообщали неверные данные.
[Interfaces] - Разрешено удаление несуществующего адреса из конфигурации, если он исчез из ядра.
[Routing] - Исправлена ошибка, когда все демоны маршрутизации (bgp, ospf, rip, ripng ...) случайным образом и навсегда умирают. Эта проблема могла наблюдаться при создании/удалении более 100 интерфейсов PPPoE.
[Routing] Добавлен патч для драйвера Ethernet от Cavium, который исправляет переупорядочивание пакетов в ядре 4.x. Это должно улучшить производительность сетевых служб, чувствительных к переупорядочеванию пакетов UDP (например, VoIP и потоковое видео).
[TechSupport] - Добавлена дополнительная информация об отладке LoadBalancing в файл (для) технической поддержки.
[SSH-Recovery] - Исправлена ошибка при настройке интерфейсов VLAN в сервисе ssh-recovery listen-on, приводившая к повреждению конфигурации после перезагрузки.
[LED] - Исправлена ошибка, из-за которой светодиод всегда светил БЕЛЫМ цветом.
[DHCP] - Исправлена ошибка, из-за которой одно и то же имя хоста не могло быть статически сопоставлено в разных подсетях для серверов DHCP IPv4/IPv6.
[DHCP] - Исправлена ошибка в DHCP-сервере, когда настройки dhcp-boot первой подсети применялись ко всем сетям.
[PoE] - Исправлена ошибка, когда PoE на eth9 в ER-10X оставалось включенным после сброса до заводских настроек.
[UPnP] - Backport (обратное портирование) CVE-2019-12111, исправляющее DDoS-атаки в miniupnpd.
Обновлены следующие пакеты Debian:
apt (1.4.9 => 1.4.10)
apt-transport-https (1.4.9 => 1.4.10)
base-files (9.9+deb9u11 => 9.9+deb9u13)
ca-certificates (20161130+nmu1+deb9u1 => 20200601~deb9u1)
curl (7.52.1-5+deb9u9 => 7.52.1-5+deb9u10)
dbus (1.10.28-0+deb9u1 => 1.10.32-0+deb9u1)
libapt-pkg5.0 (1.4.9 => 1.4.10)
libcurl3 (7.52.1-5+deb9u9 => 7.52.1-5+deb9u10)
libcurl3-gnutls (7.52.1-5+deb9u9 => 7.52.1-5+deb9u10)
libdbus-1-3 (1.10.28-0+deb9u1 => 1.10.32-0+deb9u1)
libgnutls-openssl27 (3.5.8-5+deb9u4 => 3.5.8-5+deb9u5)
libgnutls30 (3.5.8-5+deb9u4 => 3.5.8-5+deb9u5)
libldap-2.4-2 (2.4.44+dfsg-5+deb9u3 => 2.4.44+dfsg-5+deb9u4)
libldap-common (2.4.44+dfsg-5+deb9u3 => 2.4.44+dfsg-5+deb9u4)
libperl5.24 (5.24.1-3+deb9u6 => 5.24.1-3+deb9u7)
libidn11 (1.33-1 => 1.33-1+deb9u1)
libperl5.24 (5.24.1-3+deb9u5 => 5.24.1-3+deb9u6)
libsasl2-2 (2.1.27~101-g0780600+dfsg-3 => 2.1.27~101-g0780600+dfsg-3+deb9u1)
libsasl2-modules-db (2.1.27~101-g0780600+dfsg-3 => 2.1.27~101-g0780600+dfsg-3+deb9u1)
libssl1.0.2 (1.0.2t-1~deb9u1 => 1.0.2u-1~deb9u1)
libtimedate-perl (2.3000-2 => 2.3000-2+deb9u1)
sudo (1.8.19p1-2.1+deb9u1 => 1.8.19p1-2.1+deb9u2)
igmpproxy (0.1 => 0.2.1)
tzdata (2019c-0+deb9u1 => 2020a-0+deb9u1)
Известные проблемы:
[DPI] - Иногда DPI неправильно отображает счетчики rx/tx.
[Offloading] - трафик L2TP IPSec не ускоряется аппаратно в маршрутизаторах на базе Mediatek (ER-X, ER-X-SFP, EP-R6).
[Offloading] - трафик VLAN не ускоряется аппаратно в ER-12.
Инструкции:
Прошивка EdgeRouter может быть установлена через CLI, WebGUI или UNMS.
Контрольные суммы:
ER-e50.v2.0.9.5346345.tar - md5: 411314387abecb3185c2c75dca5376ee - sha256: 6e9266c44b1d8facdd21c174831ff0f6c273d49f5503688fcbf89ec45df4d244
ER-e100.v2.0.9.5346345.tar - md5: 02468bce89d52000186b75cc5f0c91bc - sha256: 6a3d7e78fa5dd24a02d133ccd9bfc8b22b142453dc42a5e6d38b20eee5bc1797
ER-e200.v2.0.9.5346345.tar - md5: 2ec8d376cbf9552f8d14cbf3086800e0 - sha256: 62ddf09a68eca710130b6d14a611515f664100f8ac13344d2b35846049d495c2
ER-e300.v2.0.9.5346345.tar - md5: f47a532c8151533796c21e20cb64803a - sha256: 694b6ed0bc5835a7ca97eeb4e1efa1e9c790c135d50ac41afb863fe0b052baa8
ER-e1000.v2.0.9.5346345.tar - md5: 1a2957029db5ee83ad1d777f58a8974c - sha256: 36696f8401687334a4ae3129282be4fba546e985d5ec1aa237273115a39190c8
Ссылки:
ER-X, ER-10X, ER-X-SFP and EP-R6
| Форма для комментариев, вопросов и отзывов | Добавить комментарий |
