[WLANware] [ANNOUNCE] fastd v9
Moritz Warning
moritzwarning at web.de
Sun Sep 8 19:14:18 CEST 2013
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Gratulation! :)
On 09/08/2013 06:59 PM, Matthias Schiffer wrote:
> Moin,
> es ist endlich so weit: fastd v9 ist fertig :D (und da von einigen
> Leuten gewnscht: Announces ab jetzt auch an WLANware :) )
>
> Die Liste der ᅣnderungen ist ganz schon lang, die Commit-Stats sprechen
> fr sich: 136 Commits, 42 files changed, 3724 insertions, 2315
> deletions. Neben sehr vielen internen Umbauten und Refactoring gibt es
> wie immer eine ganze Menge neue Features und ein paar Bugfixes.
>
> Eine ᅣnderung mchte ich besonders herausstellen: Das fastd-Binary ist
> trotz der Vielzahl der neuen Features deutlich kleiner als in v8. So ist
> das typische OpenWRT-ar71xx-Binary (mit xsalsa20-poly1305, ohne
> aes128-gcm) von fast 120 KB auf gerade mal 91.7 KB geschrumpft.
>
> Die neue Version ist natrlich 100% kompatibel zu den bisherigen
> fastd-Versionen, und ich wrde wegen der unten genannten Bugfixes jedem
> empfehlen, zu updaten. Debian-Pakete stehen schpn bereit, auch das AUR
> und unser OpenWRT-Feed sind bereits aktualisiert. Die Dokumentation im
> Wiki [1] werde ich in den n¦chsten Tagen aktualisieren.
>
> Gre,
> NeoRaider / Matthias
> Freifunk Lbeck
>
>
> [1] https://projects.universe-factory.net/projects/fastd/wiki/Documentation
>
>
> === Neue Features ===
>
> * Support fr mehrere Remote-Zeilen in einer einzigen Peer-Definition
> - Die Remote-Zeilen mssen weiterhin alle auf denselben Peer zeigen (da
> die Keys eindeutig sein mssen), aber es ist mglich, mehrere
> alternative Domains fr einen Peer, eine IP-Adresse als Fallback,
> und/oder mehrere alternative Ports fr einen Peer zu definieren
> - Das Float-Attribut ist jetzt nicht mehr Teil der Remote-Zeile,
> sondern wird als eigene Direktive angegeben ('float yes|no;'), da sie
> sich auf die ganze Peer-Definition auswirkt (die alte Syntax wird
> natrlich weiterhin untersttzt, ist aber deprecated)
> - Die einzelnen Remotes werden von oben nach unten durchprobiert, bis
> ein erfolgreicher Handshake abgeschlossen wurde (zwischen den Handshakes
> wird immer etwa 20s gewartet)
>
> * Experimenteller Support fr FreeBSD und OpenBSD; wenn es ersthaftes
> Interesse gibt, wrde ich auch Support fr NetBSD, DragonFly, Solaris,
> Darwin (MacOS X) und/oder Windows hinzufgen...
>
> * pre-up- und post-down-Scripte, die vor dem ᅱffnen bzw. nach dem
> Schlieen des TUN/TAP-Interfaces ausgefhrt werden
>
> * Korrektes Verhalten auf Hosts mit mehreren IP-Adressen (insbesondere
> sind jetzt Tunnel zwischen IPv6-Link-Local-Adressen mglich, dazu muss
> die Adresse im Remote-Eintrag wie ein Hostname in "" geschrieben werden,
> z.B. 'remote "fe80::1234:5678%eth0" port 10000;')
>
> * Mit der Option 'pmtu yes|no|auto;' kann das DF-Bit fr die
> fastd-Pakete unabh¦ngig vom System-Default gesetzt werden, falls man es
> mit kaputten Netzwerken zu tun hat, in denen PMTU nicht korrekt funktioniert
>
> * Es gibt den neuen Log-Level debug2; einige Debug-Meldungen, die
> potentiell sehr h¦ufig auftreten, werden nur noch auf debug2 ausgegeben
>
> * RX/TX-Stats: Bei einem SIGUSR1 gibt fastd jetzt nicht mehr nur eine
> Liste der Peers aus, sondern auch Paket/Byte-Stats aus; bei den
> gesendeten Paketen tauchen auerdem Z¦hler fr Dropped (Send-Queue voll)
> und Error (normalerweise no route to host oder sowas) auf
>
> * flex ist keine Build-Abh¦ngigkeit mehr
>
> * OpenWRT: Es sind jetzt alle relevanten Optionen auch durch uci zu
> setzen (inklusive Peer Groups)
>
>
> === Bugfixes ===
>
> * --generate-key kann jetzt ordentlich durch SIGTERM/SIGINT unterbrochen
> werden (z.B. Ctrl-C)
>
> * establish/disestablish/verify-Scripten hat ohne eine Bind-Zeile in der
> Config einen Segfault erzeugt, und mit Bind-Zeile mit zuf¦lligem Port
> den lokalen Port als 0 angegeben
>
> * Bei Paketverlust w¦hrend eines Handshakes konnte es passieren, dass
> fr l¦ngere Zeit Meldungen "sending packet for old session"-Meldungen
> erschienen sind. Diese Meldung ist jetzt nicht nur auf Log-Level debug2
> degradiert worden, auch die Ursache wurde gefixt.
>
> * Geringfgige Schw¦che des Crypto-Protokolls wurde gefixt: Es war
> mglich, wenn zwei Peers genau gleichzeitig beide einen Handshake
> initiiert haben, dass sie beide eine Session mit demselben Session Key
> etabliert haben, und beide dabei dachten, sie w¦ren Initiator der
> Session. Danach wrden sie fr etwa 90s (bis die Session eine Timeout
> hat) ihre Pakete mit denselben Cipherstream verschlsseln, sodass ein
> Angreifer, der den Plaintext der Pakete des einen Peers kennt, auch die
> Pakete der anderen Seite entschlsseln kann.
> In der Praxis sollte dieser Angriff auch mit v8 keine Relevanz haben;
> mit v9 ist er nicht mehr mglich.
>
> * Debian: Das Init-Script legt jetzt korrekt PID-Files an (und kann
> fastd somit korrekt wieder beenden)
>
>
> === Kleinere ᅣnderungen am Verhalten ===
>
> * In Peer-Directories werden jetzt Dateien, die mit ~ enden, ignoriert
>
> * In Konfiguration-Dateien wird das Carriage-Return-Zeichen '\r' ignoriert
>
>
>
> _______________________________________________
> WLANware mailing list
> WLANware at freifunk.net
> Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlanware-freifunk.net
>
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iQEcBAEBAgAGBQJSLLBqAAoJECHrh56PP4wpEqMH/jwCTbesZL3ehfm1w3JuWB0j
wsKz33ZRJFm6InIRAAHrErAgzMsDnyA029LFC5+y2x9qMoQd8yVgcIJN0c1psNGH
uxQuxLM06CvKsjl3PIY5C9B6BhMqFBoKMhK6CcLLqL8eAI7YBKAW7FjhLwtc8Z3Y
vjAqJR6yi/aGHDfWz+i7lO4rQXdoAMbk7gexPifh/elgupsHNTsSvk3/LmZQUGx8
6C9nrKswQ9QujVL4aTCfywomimMX8q/9d0tR0SrbRzvzGJ5K5wXwI2dus8v5hrKg
n5RoROnSMDdSJU/p0OcHvucIH/sDo1r2AjR/kyCW+5Bpe58cjt+rqgt13TBvhCE=
=Q+t3
-----END PGP SIGNATURE-----
More information about the WLANware
mailing list