OpenConnect
OpenConnect是一种SSL VPN,相对于IPsec技术,其优点在于:
IPsec的配置非常复杂,没有经验的人员很难完成操作。
网络层的访问控制粒度太大。
IPsec需要支持NAT穿透技术,如果链路上路由器配置了防火墙则很难实现。
相较之下,SSL VPN的使用无需过多培训,能够根据内容、地址和安全情况进行细粒度的控制,且只需开放一对普通的TCP、UDP端口,管理起来也很方便。
在OpenWRT上,安装ocserv包即可。配置文件仅有一个,就是/etc/ocserv.conf。实例配置文件如下:
用户可以以证书登录到VPN。注意,此时证书的CN必须是用户名,比如wang。当然,也可以使用用户名加密码的plain认证,此时需执行
会提示输入密码,创建名为wang的用户。执行
启动OpenConnect。在Windows下,客户端可以使用思科的客户端AnyConnect,也可以用OpenConnect-GUI。Linux的NetworkManager有OpenConnect的插件。OpenConnect-GUI配置如下:
保存连接,成功接入企业内网:
