openconnect: implement --no-external-auth

The option prevents OpenConnect from advertising
to the server that it supports any kind of
authentication mode that requires an external
browser. Some servers will force the client to use such
an authentication mode if the client advertises it, but
fallback to a more "scriptable" authentication mode if
the client doesn’t appear to support it.

Signed-off-by: Thomas Winkler <redacted>

pulseaudio: lower START= value in init script

Lower the START value from 99 to 90. This allows other applications that
use pulseaudio to start after it with the pulse client socket being available.

Signed-off-by: Daniel Danzberger <redacted>

python-pytz: bump to 2026.1

Updated timezone data to 2026.1 release.

Full release notes:
https://github.com/stub42/pytz/blob/master/src/CHANGES.rst

pytz 2026.1 requires setuptools as build backend but it was not
declared as a build dependency, causing the build to fail with
'setuptools.build_meta:__legacy__ is not available'.

Signed-off-by: Alexandru Ardelean <redacted>

curl: update to 8.19.0

changelog: https://curl.se/ch/8.19.0.html

Signed-off-by: Ivan Pavlov <redacted>

luajit2: update to v2.1-20260227

For changes, see tagged commit:
https://github.com/openresty/luajit2/releases/tag/v2.1-20260227

Signed-off-by: Javier Marcet <redacted>

vscode: update editor settings and commit constraints

Enable trailing whitespace trimming, insert final newline, and force LF.
Configure git input validation to warn if subject exceeds 60 characters
or if body lines exceed 75 characters.

Signed-off-by: Josef Schlehofer <redacted>

treewide: remove myself as maintainer

slide-switch is my software, I choose to continue to be sole maintainer.
(This was also the case in #28429.)

Signed-off-by: Jeffery To <redacted>

python-pyodbc: update to 5.3.0

Fixes compilation with newer Python/

Signed-off-by: Rosen Penev <redacted>

treewide: add me as co-maintainer to Jeffery's packages

Add 'Alexandru Ardelean <redacted>' as co-maintainer
alongside Jeffery To <redacted> for all packages where
Jeffery To is listed as maintainer.

Supersedes PR: https://github.com/openwrt/packages/pull/28429

We can have another PR where Jeffery removes himself later.

Signed-off-by: Alexandru Ardelean <redacted>

openblas: bump to 0.3.31

Dropped patch: 0001-Make-GEMM3M-parameters-available-on-32bit-X86-GENERI.patch
Part of upstream: https://github.com/OpenMathLib/OpenBLAS/pull/5418

Changelog:
- Revert a 0.3.30 optimization that could cause race conditions
  and invalid results in GEMM
- Fix thread lockup with Python 3.9 and NumPy
- Fix deadlock in multithreaded code after fork()
- Add bfloat16 extensions (BGEMM, BGEMV) and basic FP16 infrastructure
- Add batch GEMM operations with strided variants
- Add multithreaded LAPACK SLAED3/DLAED3 for improved eigensolvers
- Add Apple M4 and Intel Lunar Lake support
- Add initial POWER11 architecture support
- Improve GEMM performance on A64FX and ARM processors

Full release notes:
https://github.com/OpenMathLib/OpenBLAS/releases/tag/v0.3.31

Signed-off-by: Alexandru Ardelean <redacted>

numpy: bump to 2.4.2

Changelog:
- Fix memory leaks
- Fix validation of contraction axes in tensordot
- Fix free-threaded PyObject layout bugs
- Fix thread safety in array_getbuffer
- Fix quantile promotion logic
- Fix compatibility with latest Cython version
- Update OpenBLAS to fix hanging issues

Full release notes:
https://github.com/numpy/numpy/releases/tag/v2.4.2

Signed-off-by: Alexandru Ardelean <redacted>

bsbf-openwrt-resources: add BSBF URL to packages

Add the BondingShouldBeFree URL to the bsbf-openwrt-resources packages.

Signed-off-by: Chester A. Unal <redacted>

bsbf-resources: add BSBF URL to packages

Add the BondingShouldBeFree URL to the bsbf-resources packages.

Signed-off-by: Chester A. Unal <redacted>

bsbf-plpmtu: add

Update bsbf-resources to the GIT HEAD of 2026-03-12. Add bsbf-plpmtu and
make bsbf-bonding depend on bsbf-plpmtu.

Signed-off-by: Chester A. Unal <redacted>

plp-mtu-discovery: add

Perform Path MTU Discovery without relying on ICMP errors, which are often
not delivered.

Signed-off-by: Chester A. Unal <redacted>

sqlite3: bump to 3.52.0

Changes: https://sqlite.org/releaselog/3_52_0.html
Signed-off-by: George Sapkin <redacted>

adblock: update 4.5.2‑4

* optimized the awk for the Top10 statistics in the DNS Report,
  removed the faulty caching (reported in the forum)
* minor improvement in the f_switch function
* readme update

Signed-off-by: Dirk Brenken <redacted>

adguardhome: add config reload trigger

Restart the service when config is changed from the app.

Signed-off-by: George Sapkin <redacted>

python-evdev: bump version to 1.9.3

Fix several memory leaks in input.c

Signed-off-by: Ivan Belokobylskiy <redacted>

python-evdev: add mandatory uinput.h header to builder

Starting from 1.9.2 python-evdev requires
include/uapi/linux/uinput.h headers for proper building.
Otherwise, it compiles but cannot be imported causing
KeyError: 'UI_FF'

Add uinput.h to LINUX_EVDEV_HEADERS

Signed-off-by: Ivan Belokobylskiy <redacted>

squashfs-tools: bump to 4.7.5

Changes since 4.7.2:
- Fix potential corruption in Squashfs filesystems containing sparse files
- Fix pseudo file creation failures with large blocks of contiguous zeros
- Fix duplicate file detection for files exceeding available buffer space
- Add -numeric-owner option to mksquashfs/sqfstar
- Fix segfault when using pseudo file root definitions with only Xattr metadata
- Fix conflict between -offset and -stream options
- Fix directory modification timestamp issues in pseudo file hierarchy
- Fix -max-depth incorrectly marking empty directories as excluded

Full release notes:
https://github.com/plougher/squashfs-tools/releases/tag/4.7.5

Signed-off-by: Alexandru Ardelean <redacted>

adguardhome: bump to 0.107.73

Changes: https://github.com/AdguardTeam/AdGuardHome/releases/tag/v0.107.73
Signed-off-by: George Sapkin <redacted>

snort3: update to v3.11.1.0

Changelog: https://github.com/snort3/snort3/releases/tag/3.11.1.0

Signed-off-by: John Audia <redacted>

libdaq3: update to 3.0.25

Release notes: https://github.com/snort3/libdaq/releases/tag/v3.0.25

Signed-off-by: John Audia <redacted>

python-psycopg2: update to 2.9.11

Newer Python compatibility.

Signed-off-by: Rosen Penev <redacted>

rust: Update to 1.94.0

Changelog:
- https://github.com/rust-lang/rust/releases/tag/1.91.1
- https://github.com/rust-lang/rust/releases/tag/1.92.0
- https://github.com/rust-lang/rust/releases/tag/1.93.0
- https://github.com/rust-lang/rust/releases/tag/1.93.1
- https://github.com/rust-lang/rust/releases/tag/1.94.0

Signed-off-by: Tianling Shen <redacted>

nfs-kernel-server: update to 2.8.6

Changelog: https://www.kernel.org/pub/linux/utils/nfs-utils/2.8.6/2.8.6-Changelog

Build system: x86/64
Build-tested: x86/64-glibc
Run-tested: x86/64-glibc

Signed-off-by: John Audia <redacted>

mwan3: bump PKG_VERSION to 2.12.1

Signed-off-by: Harin Lee <redacted>

mwan3: fix typos in warning messages

Signed-off-by: Harin Lee <redacted>

mwan3: fix IPv6 support for httping command

This passes the '-6' option to httping if the address family is IPv6.

Signed-off-by: Harin Lee <redacted>

mwan3: warn about unsupported IPv6 in arping track method

ARP and arping do not support IPv6.

Signed-off-by: Harin Lee <redacted>

openvpn: increment PKG_RELEASE by one

Increment PKG_RELEASE by one.

Signed-off-by: Florian Eckert <redacted>

openvpn: add hotplug handling back in

This commit adds hotplug handling back in.

Fixes: 2607b761 ("openvpn: introduce proto handler")
Signed-off-by: Florian Eckert <redacted>

openvpn: use append for the remaining options

There is already the 'append' command, which assembles all parameters that
are called 'proto_run_command'. Let´s move also the last params to the
top. To ensure that the sequence is correct, the parameters must be added
at the beginning, so that user parameters can overwrite them.

Signed-off-by: Florian Eckert <redacted>

openvpn: use also append for dev_type and ovpnproto options

There is already the 'append' command, which assembles all parameters that
are called 'proto_run_command'. Let´s use that. To ensure that the
sequence is correct, the parameters must be added at the beginning, so that
user parameters can overwrite them.

Signed-off-by: Florian Eckert <redacted>

openvpn: use common pattern for global variable

The common pattern for global variable is, to write the variable name in
capital letters. This improves maintainability in shell scripts.

Signed-off-by: Florian Eckert <redacted>

openvpn: fix auth_user_pass option

The variable 'auth_file' is not used in the following programm sequence.
It therefore only makes sense to add it as a call parameter via 'append'
when calling the the 'proto_run_commmand'.

Signed-off-by: Florian Eckert <redacted>

openvpn: rename openvpn proto option to ovpnproto option

This was forgotten during renameing of this option.

Fixes: e026ce0f ("openvpn: handle ovpnproto exclusively")
Signed-off-by: Florian Eckert <redacted>

openvpn: remove net needed blank lines

There is always only one blank line between the sections.

Signed-off-by: Florian Eckert <redacted>

django: bump to version 6.0.3

Fix CVE-2026-25674.

Full release notes:
https://docs.djangoproject.com/en/6.0/releases/6.0.3/

Signed-off-by: Wei-Ting Yang <redacted>

django: clean up Makefile

- Add AUTHORS into PKG_LICENSE_FILES.
- Drop no longer required python3-pytz dependency.
- Remove obsolete CONFLICTS field.

Signed-off-by: Wei-Ting Yang <redacted>

usbutils: use ALTERNATIVES

Use the ALTERNATIVES symlink handling to avoid conflicts with busybox
lsusb tool. Otherwise this package can not be installed if you also have
enabled lsusb from busybox.

Signed-off-by: Martin Schiller <redacted>

pciutils: use ALTERNATIVES

Use the ALTERNATIVES symlink handling to avoid conflicts with busybox
lspci tool. Otherwise this package can not be installed if you also have
enabled lspci from busybox.

Signed-off-by: Martin Schiller <redacted>

net-snmp: bump PKG_RELEASE

Bump PKG_RELEASE to reflect fixes to UCI init script config
generation for missing/unset options and RestrictOID handling.

Signed-off-by: Eric McDonald <redacted>

net-snmp: fix newline when RestrictOID is neither yes nor no

snmpd_access_default_add, snmpd_access_HostName_add, and
snmpd_access_HostIP_add check if RestrictOID is `yes` or `no`
but fail to write a newline for other values of RestrictOID
(e.g., `true`, `false`) or if unset, corrupting the generated config.

Fix by using config_get_bool and restructuring to write either
a complete line or nothing. Also require RestrictedOID to be
non-empty when RestrictOID is enabled.

This is a breaking change for configs where RestrictOID is set
to a value that the old code did not match as `yes` (e.g., `true`,
`1`, `on`, `enabled`) but config_get_bool evaluates as true. In
practice, this is unlikely to affect existing installs unless a
user is unknowingly relying on unintended behavior or is deliberately
relying on the old code's non-standard boolean evaluation; this
latter case is considered unlikely by this commit's author. Configs
where RestrictOID is enabled but RestrictedOID is empty are also
affected; previously a directive with a trailing space was written,
now no directive is written.

Signed-off-by: Eric McDonald <redacted>

net-snmp: add early return when IPMask is unset

snmpd_access_HostIP_add would write unintended output to the
config file if the IPMask option is not specified. Add an early
return to prevent writing in that case.

This is a breaking change for configs where IPMask is unset.
Previously, an empty IPMask option would result in a malformed
directive containing a trailing slash with no guaranteed newline,
the exact form of which depended on the values of other options.
Now, no directive is written.

Signed-off-by: Eric McDonald <redacted>

net-snmp: add early return when HostIP is unset

snmpd_access_HostIP_add would write unintended output to the
config file if the HostIP option is not specified. Add an early
return to prevent writing in that case.

This is a breaking change for configs where HostIP is unset.
Previously, an empty HostIP option would result in a malformed
directive containing a bare /mask with no guaranteed newline, the
exact form of which depended on the values of other options.
Now, no directive is written.

Signed-off-by: Eric McDonald <redacted>

net-snmp: add early return when HostName is unset

snmpd_access_HostName_add would write unintended output to the
config file if the HostName option is not specified. Add an early
return to prevent writing in that case.

This is a breaking change for configs where HostName is unset.
Previously, an empty HostName option would result in a malformed
directive with a trailing space and no guaranteed newline, the
exact form of which depended on the values of other options.
Now, no directive is written.

Signed-off-by: Eric McDonald <redacted>

net-snmp: add early return when CommunityName is unset

snmpd_access_default_add, snmpd_access_HostName_add, and
snmpd_access_HostIP_add would write unintended output to the
config file if the CommunityName option is not specified. Add an
early return to each function to prevent writing in that case.

This is a breaking change for configs where CommunityName is
unset. Previously, an empty CommunityName option would result in
a malformed directive with a double space and no guaranteed
newline, the exact form of which depended on the values of other
options. Now, no directive is written.

Signed-off-by: Eric McDonald <redacted>

net-snmp: add early return when Mode is unset

snmpd_access_default_add, snmpd_access_HostName_add, and
snmpd_access_HostIP_add would write unintended output to the
config file if the Mode option is not specified. Add an early
return to each function to prevent writing in that case.

This is a breaking change for configs where Mode is unset.
Previously, an empty Mode option would result in a malformed
directive with a leading space and no guaranteed newline, the
exact form of which depended on the values of other options.
Now, no directive is written.

Signed-off-by: Eric McDonald <redacted>

telegraf: update to 1.38.0
- Update Telegraf to v1.38.0

Signed-off-by: Niklas Thorild <redacted>

adguardhome: add jail_mount_rw config option

Add jail_mount_rw config option to add directories with read-write
access.

Fixes: https://forum.openwrt.org/t/247253
Signed-off-by: Afiq Nazrie <redacted>

bsbf-resources: update to GIT HEAD of 2026-03-09

Update bsbf-resources to the GIT HEAD of 2026-03-09.

Signed-off-by: Chester A. Unal <redacted>

zoneinfo: updated to 2026a release

Updated package version and file hashes.

Signed-off-by: Vladimir Ulrich <redacted>

lcd4linux: prevent concurrent layout switches

Add patch to prevent concurrent layout switches.

Signed-off-by: Oliver Sedlbauer <redacted>

netbird: update to 0.66.2, patch for Go 1.26 build

Changelog: https://github.com/netbirdio/netbird/releases/tag/v0.66.2

NetBird `v0.66.x` adds support for exposing a local HTTP service
from the CLI with the `netbird expose`[1] command, but only for
self-hosted deployments. Cloud support is coming.

[1]: https://docs.netbird.io/manage/reverse-proxy/expose-from-cli

---

`0.65.x` highlights

Changelog: https://github.com/netbirdio/netbird/releases/tag/v0.65.3

NetBird `v0.65.x` now includes a built-in reverse proxy[1], but only for
self-hosted deployments and is currently in beta. Cloud support is
coming soon.

Important: pre-shared keys or Rosenpass are currently incompatible with
the reverse proxy feature.

[1]: https://docs.netbird.io/manage/reverse-proxy

---

`v0.63.x` highlights

Changelog: https://github.com/netbirdio/netbird/releases/tag/v0.63.0

NetBird now supports private DNS zones[1].

[1]: https://docs.netbird.io/manage/dns/custom-zones

---

`v0.62.x` highlights

Changelog: https://github.com/netbirdio/netbird/releases/tag/v0.62.3

Upstream minimum Go requirement raised from `v1.24.x` to `v1.25.x`,
see the go.mod[1].

[1]: https://github.com/netbirdio/netbird/blob/v0.62.3/go.mod#L3-L5

---

Building `netbird` with Go 1.26.x fails with errors:

```
[...]
/builder/dl/go-mod-cache/gvisor.dev/gvisor@v0.0.0-20251031020517-ecfcdd2f171c/pkg/sync/runtime_constants_go126.go:22:2: WaitReasonSelect redeclared in this block
/builder/dl/go-mod-cache/gvisor.dev/gvisor@v0.0.0-20251031020517-ecfcdd2f171c/pkg/sync/runtime_constants_go125.go:22:2: other declaration of WaitReasonSelect
/builder/dl/go-mod-cache/gvisor.dev/gvisor@v0.0.0-20251031020517-ecfcdd2f171c/pkg/sync/runtime_constants_go126.go:23:2: WaitReasonChanReceive redeclared in this block
/builder/dl/go-mod-cache/gvisor.dev/gvisor@v0.0.0-20251031020517-ecfcdd2f171c/pkg/sync/runtime_constants_go125.go:23:2: other declaration of WaitReasonChanReceive
/builder/dl/go-mod-cache/gvisor.dev/gvisor@v0.0.0-20251031020517-ecfcdd2f171c/pkg/sync/runtime_constants_go126.go:24:2: WaitReasonSemacquire redeclared in this block
/builder/dl/go-mod-cache/gvisor.dev/gvisor@v0.0.0-20251031020517-ecfcdd2f171c/pkg/sync/runtime_constants_go125.go:24:2: other declaration of WaitReasonSemacquire
[...]
```

Upstream Issue: https://github.com/netbirdio/netbird/issues/5290
Upstream PR: https://github.com/netbirdio/netbird/pull/5447

Signed-off-by: Wesley Gimenes <redacted>

netbird: update to 0.61.2 (breaking change)

Changelog: https://github.com/netbirdio/netbird/releases/tag/v0.61.2

The second release of `netbird` that introduces a breaking change[1].
A backport will be provided for OpenWrt 25.12 but not for OpenWrt 24.10,
since OpenWrt 25.12 has not been released yet.

NetBird adds **fine-grained SSH access control**[2].

Self-hosters must update both the `management` and `dashboard`[3].

[1]: https://forum.netbird.io/t/upcoming-breaking-changes-to-netbird-ssh/401
[2]: https://docs.netbird.io/manage/peers/ssh#fine-grained-access-control
[3]: https://docs.netbird.io/manage/peers/ssh#v0-61-0

Signed-off-by: Wesley Gimenes <redacted>

netbird: move state file to reduce storage wear

Add `NB_DNS_STATE_FILE="/var/lib/netbird/state.json"` to the init
environment. This moves the state from the directory
`/root/.config/netbird` to the file `/var/lib/netbird/state.json` to
avoid storage wear. Note: the file is not preserved across reboots.

The state file contains information such as locally disabled routes and
other data primarily useful for desktop clients. In OpenWrt setups,
these changes are normally handled by the NetBird `management` server.
This matches the behavior prior to `netbird` v0.52.x, I have not
received any reports that this file caused problems before, so it is
unlikely to cause issues now.

The previous state file `/root/.config/netbird/state.json` can be removed.

Signed-off-by: Wesley Gimenes <redacted>

adblock: update 4.5.2‑3

* the suspend/resume function now uses the external
   DNS bridge when this function is used
* refine the f_nftadd function
* more file debug logging
* LuCI: add unfiltered DNS-Server to the DNS bridge selection
* LuCI: minor fixes

Signed-off-by: Dirk Brenken <redacted>

pbr: update to 1.2.2-r10

* add support for OpenVPN netifd detection (thanks @egc112)
* add support for disable LAN->WAN forwarding when `strict_enforcement` is
  set on start and restart (thanks @egc112)
* fix: always create marking chains for interfaces
* fix: insert DSCP/ICMP-related nft rules after marking chains
* fix: shellcheck-related improvements

Signed-off-by: Stan Grishin <redacted>

adblock-fast: update to 1.2.2-r10

* bugfix: always print errors/warnings on non-quiet start
* bugfix: return proper enabled status in RPCD
* bugfix: return stupped status in RPCD when procd data is empty
* bugfix: correctly process verbosity=0
* delete LICENSE file and only keep it upstream

Signed-off-by: Stan Grishin <redacted>

bsbf-autoconf-dhcp: switch to wan_$DEVICENAME naming scheme

Use wan_$DEVICENAME naming scheme instead of using consecutive numbering
for the network name.

This makes it easier to match the network interface to the corresponding
network.

Signed-off-by: Chester A. Unal <redacted>

bsbf-autoconf-cellular: set device option for network

Set the device option for the network. This is solely for the ease of
matching the network to the corresponding network interface.

Signed-off-by: Chester A. Unal <redacted>

golang: bump 1.26 to 1.26.1

Fixes: CVE-2026-25679
Fixes: CVE-2026-27137
Fixes: CVE-2026-27138
Fixes: CVE-2026-27139
Fixes: CVE-2026-27142
Changes: https://github.com/golang/go/issues?q=milestone%3AGo1.26.1+label%3ACherryPickApproved
Signed-off-by: George Sapkin <redacted>

golang: remove broken mirror

Remove dl.google.com mirror because it's not responding.

Signed-off-by: George Sapkin <redacted>

tailscale: fix fw_mode env by using append_param

The previous commit 09c14817 introduced TS_NO_LOGS_NO_SUPPORT but
used procd_set_param for a subsequent environment variable. This
overwrote the previous env setting, causing fw_mode to be missed.

Switch to procd_append_param to ensure all environment variables are
properly passed to the process.

Signed-off-by: Tung-Yi Chen <redacted>

bridge-utils: remove package

bridge-utils is obsolete software because ip command has
bridge functionality. And OpenWrt uses BusyBox's brctl
by default, so most users will not be affected by this change.

Signed-off-by: Yanase Yuki <redacted>

moc: remove package

This software seems no longer maintained by upstream.
The latest upstream release is 10 years ago,
and no package depends on this.

Signed-off-by: Yanase Yuki <redacted>

svox: remove package

This software seems no longer maintained by upstream.
The latest upstream commit is 8 years ago,
and no package depends on this.

Signed-off-by: Yanase Yuki <redacted>

open2300: remove package

This software is no longer maintained by upstream.
No package depends on this.

Signed-off-by: Yanase Yuki <redacted>

rust: set llvm.download-ci-llvm=false

These LLVM builds get deleted after a certain time, causing Rust builds
to break as the LLVM build can no longer be downloaded.

Fixes #27331.

Signed-off-by: Orne Brocaar <redacted>

adblock: update 4.5.2‑2

* fixed the debug errorfile handling
* fixed a typo in the nftadd function
* minor cornercase improvements
* LuCI: minor cleanups & fixes

Signed-off-by: Dirk Brenken <redacted>

tailscale: update to 1.94.2

Changelog: https://tailscale.com/changelog#2026-02-12

Signed-off-by: Sandro Jäckel <redacted>

adguardhome: add GC and thread control variables

Add Go GC and threading control variables - GOGC, GOMEMLIMIT, and
GOMAXPROCS - to allow more granular control of the memory management on
lower memory devices.

Fixes: https://github.com/openwrt/packages/issues/28676
Link: https://go.dev/doc/gc-guide#GOGC
Link: https://pkg.go.dev/runtime#pkg-overview
Link: https://go.dev/blog/container-aware-gomaxprocs
Signed-off-by: George Sapkin <redacted>

syncthing: bump to 2.0.15

Changes: https://github.com/syncthing/syncthing/releases/tag/v2.0.15
Signed-off-by: George Sapkin <redacted>

yt-dlp: bump to 2026.03.03

Changes: https://github.com/yt-dlp/yt-dlp/releases/tag/2026.02.21
Changes: https://github.com/yt-dlp/yt-dlp/releases/tag/2026.03.03
Signed-off-by: George Sapkin <redacted>

openvpn: increment PKG_RELEASE by one

Increment PKG_RELEASE by one.

Signed-off-by: Florian Eckert <redacted>

openvpn: move usr/share/openvpn files into its own dir

By moving the file to a subdirectory, it is easier to track where the file
is located on the target without having to check the Makefile every time.

Signed-off-by: Florian Eckert <redacted>

openvpn: move lib/upgrade/keep.d file into its own dir

By moving the file to a subdirectory, it is easier to track where the file
is located on the target without having to check the Makefile every time.

Signed-off-by: Florian Eckert <redacted>

openvpn: improve readability for files install target

Each script to be installed is moved to its own line to improve readability.

Signed-off-by: Florian Eckert <redacted>

openvpn: remove not needed INSTALL_DIR creations

This 'INSTALL_DIR' creation are not needed anymore after refactoring.

Signed-off-by: Florian Eckert <redacted>

openvpn: refactoring INSTALL_DIR command call during install

Move the 'INSTALL_DIR' creation in the make install target to the location
where the files are also installed. This prevents directories that are no
longer needed from being forgotten during refactoring.

Signed-off-by: Florian Eckert <redacted>

adblock-fast: update to 1.2.2-r8

* bugfix: support TMP and final block-list destination on different
  partitions
* update pause-related code/defaults/validation

Signed-off-by: Stan Grishin <redacted>

zabbix: bump version to 7.0.23 (LTS)

Update version to 7.0.23 - latest LTS.

Signed-off-by: Daniel F. Dickinson <redacted>

zabbix: add full variants and add-on support for other

Rather than having a database selection for SQLITE which prevents
the server or frontend from building, we add a 'basic'
variant for the proxy which uses sqlite3, and have the database
Kconfig affect only the server and frontend.

* There are now only three variants:
  1. full, which is the default. It includes the full monitoring feature
     set currently available on openwrt, including netsnmp, curl-based
     checks, and ldap. In addition these features, plus the choice of
     database and ssl provider (or no ssl) are configuration options for
     this variant.
  2. basic, which provides basic functions with openssl support
  3. no-configure, for packages which are not part of the main Zabbix
     compile process (including the WebUI which only requires copying
     files for use by a web server with PHP CGI support).

* Full is the default variant for agentd and proxy, which are the only
  packages with a choice between full and basic. All other packages only
  are part of one variant.

* Full variants are the base version of the packages (that is
  zabbix-agentd is the 'full' version while zabbix-agentd-basic is the
  core version). The proxy version is named zabbix-proxy-basic-sqlite to
  announce that it is using the sqlite3 database and not a database
  server.

* get and sender only build if at least one of agentd, server, or proxy
are built. Therefore prevent selection get or sender when they would not
build.

* Zabbix's use of NetSNMP requires that Zabbix be build with OpenSSL

* While we are here, enable support for dates after 2038 (64-bit time_t)

* https://github.com/openwrt/packages/pull/28585#issuecomment-3984978895
  * we updated the name to reflect that it is for basic functionality
    that can standalone, rather then being a core the other packages
    build on.
  * basic has been used rather than tiny or small since the sentence
    'Provides only tiny/small functionality with SSL/TLS' in the
    description, sounds strange, but using basic this reads properly.

Signed-off-by: Daniel F. Dickinson <redacted>

zabbix: update php8 dependencies

Using the php8 dependency allows use to go back to using the
+ZABBIX_POSTGRESQL:php8-mod-pgsql (and like dependency for
mysql/mariadb).

This has the benefit of being an apk dependency so the user does not
install the frontend without a php8 database module.

Signed-off-by: Daniel F. Dickinson <redacted>

net/radsecproxy: Remove myself as maintainer

Signed-off-by: Toke Høiland-Jørgensen <redacted>

bsbf-resources: update to GIT HEAD of 2026-03-03

Update bsbf-resources to the GIT HEAD of 2026-03-03.

Signed-off-by: Chester A. Unal <redacted>

bsbf-autoconf-cellular: add

bsbf-autoconf-cellular creates a network with MBIM or QMI protocol using a
newly created network interface. It uses metric values from 1 to 8.

Signed-off-by: Chester A. Unal <redacted>

bsbf-openwrt-resources: add

Designate bsbf-openwrt-resources as the package to contain the BSBF
packages without a remote source to fetch.

Move bsbf-bonding and bsbf-usb-netdev-autodhcp into bsbf-openwrt-resources.
Change bsbf-usb-netdev-autodhcp to bsbf-autoconf-dhcp along with the logic.

Signed-off-by: Chester A. Unal <redacted>

https-dns-proxy: update to 2025.12.29-4

* add explicit LICENSE file to the repository
* pretty up Makefile
* minor shell script styling improvements
* better parsing if individual dnsmasq instances are used in config
* functional test

Signed-off-by: Stan Grishin <redacted>

pbr: update to 1.2.2-r8

* bugfix: don't mask RFC1918 in the support output
* bugfix: proper processing of downed interfaces

Thanks to everyone who reported/tested and @egc112 for collecting feedback.

Signed-off-by: Stan Grishin <redacted>

nut: fix no permissions to use USB UPS, and more

When a USB UPS is first configured, the permissions on the device under
`/dev/bus/usb` have not yet been set to allow the nut user access. This
resulted in errors such as:

Fri Feb 13 23:39:01 2026 daemon.debug upsd[3504]: [D1] mainloop: UPS
[eco550ups] is not currently connected, trying to reconnect
Fri Feb 13 23:39:01 2026 daemon.debug upsd[3504]: [D1] mainloop: UPS
[eco550ups] is still not connected (FD -1)
Fri Feb 13 23:39:03 2026 daemon.debug upsd[3504]: [D1] mainloop: UPS
[eco550ups] is not currently connected, trying to reconnect
Fri Feb 13 23:39:03 2026 daemon.debug upsd[3504]: [D1] mainloop: UPS
[eco550ups] is still not connected (FD -1)

or

Fri Feb 13 23:38:44 2026 daemon.err usbhid-ups[3083]: No matching HID
UPS found
Fri Feb 13 23:38:49 2026 daemon.warn procd: failed adding instance
cgroup for nut-server: No error information
Fri Feb 13 23:38:49 2026 daemon.err usbhid-ups[3115]: libusb1: Could not
open any HID devices: insufficient permissions on everything
Fri Feb 13 23:38:49 2026 daemon.err usbhid-ups[3115]: No matching HID
UPS found
Fri Feb 13 23:38:54 2026 daemon.warn procd: failed adding instance
cgroup for nut-server: No error information

and upsd would enter a procd crashloop.

We fix that by looking in `sysfs` (under `/sys/devices`) to find the
correct USB device and set its ownership and permissions to allow acces
to the user the driver is running under.

Copilot complained about a few things

* nut-server.init had potential word-splitting issues in various spots.
* it also had some commands missing an argument
* improved documentation was required to clarify a dependency
* an incorrect sed could mangle names as well as remove the intended
  name

Additionally, while fixing those issues the author noticed that the case
of multiple UPS devices with the same vendorid:productid were not
correctly handled. A check of the serial number, if provided, was added
along with a fallback to allowing NUT communications with all UPS
devices with a given vendorid:productid, if no serial number was given.

Improve efficiency and decrease McCabe complexity of
ensure_usb_ups_access, while also fixing Copilot complaints.

$@ in case is a problem, and we only handle the first parameter in any
event, so change $@ to "$1"

Copilot caught a missing 2>&1 and we silence some shellcheck
false positives

Signed-off-by: Daniel F. Dickinson <redacted>

nut: comment and simplify server script

Attempt to de-mystify the nut-server initscript by adding comments
and factoring out some common code that adds to complexity of the
functions of which it is part.

Signed-off-by: Daniel F. Dickinson <redacted>

nut: stop de-configured ups

Ensure that when a ups is removed from the configuration that its
driver instance is stopped.

Signed-off-by: Daniel F. Dickinson <redacted>

nut: fix driver, server, and monitor reload/stop

Updated configuration was not being applied after config change. This
was due to the means used to do the daemon reloads.

Closes #28298 "Drivers not restarted on config change"

Enable creating PID files for the server, driver, and monitor daemon
processes. This allows to use NUT's built-in facilities for signalling
the daemon's.

For server, when reloading:
1. Check if upsd is running
   1. If not, start it.
   2. If it is send reload signal to upsd
2. For each driver:
   1. Check if the driver is running
      1. If it is, send reload-or-exit signal to driver
      2. If driver is not running, start it
3. Attempt to start server (upsd and drivers) if service was stopped.

For server, when stopping:
1. Check if upsd is running
   1. If it is send stop signal to upsd
   2. Ensure it really is stopped
2. For each driver:
   1. Check if the driver is running
      1. If it is, send stop signal to driver
      2. If driver is still running, stop it.
3. If the server process is active (even with not upsd or drivers),
   stop it.

For monitor, send the reload signal on config change, with fallback to
stopping and starting the daemon.

Change the names of variables and functions to make it more clear what
is being acted on, configured, or otherwise touched.

Avoid confusing messages in syslog

* Avoid attempting to remove a procd server instance that does not exist
  as doing so results in confusing/scary messages in syslog, such as:

  Command failed: ubus call service delete
  { "name": "nut-server", "instance": "upsd" } (Not found)

In NUT some models of UPS use shutdown_delay rather than offdelay, and
yet others use usd for the same purpose. shutdown_delay and usd were
previously not available in the list of available driver options, so
add them.

Signed-off-by: Daniel F. Dickinson <redacted>

nut: add linting and fix whitespace and typos

shellcheck is a useful linter if a bit pedantic and overzealous so
add overrides to silence false positives

Also, fix issues found by the linting.

* misspelling meant initscript could skip updating configuration in
  certain circumstances
* minor: assignment of the result of execution as the time of creating
  local. This has been separated.

Fix whitespace and comment typos
Fix typo in Config.in option text
* This is cosmetic, but user-facing (for users building via SDK or
  buildroot).

Signed-off-by: Daniel F. Dickinson <redacted>

watchcat: fix interface reset does not work

As reported in #23410 Network interface reset doesn't work as expected
on a Wireguard VPN interface and in #27927 lt2p interface won't reboot,
and mentioned in #27248, the current implementation of the option to
restart an interface when connectivity check fails for some period does
not result in an interface restart for all interface.

Notably 'virtual' interfaces such as Wireguard and L2TP do not restart.

The solution that works is to use `ifup <interface>` instead of only
changing the link status.

This commit is based on the one in #27248 by @rondoval, who unfortunately
has not updated the commit message as requested for half a year.

Signed-off-by: Daniel F. Dickinson <redacted>

openvpn: handle ovpnproto exclusively

Since proto was migrated to ovpnproto to avoid collision
with netifd proto, this shall be handled separately.

Also avoid using uci commands to migrate the config which
requires knowing property types; use awk instead.

follow-up to 2607b761549a4793eff91dcb60a287c05f631846

Signed-off-by: Paul Donald <redacted>

mdio-netlink: do not select KCONFIG

mdio-netlink is forcing all targets in buildbot to build PHY and MDIO
support. Convert the dependency into the PHYLIB kmod to avoid that.

Signed-off-by: Qingfang Deng <redacted>