OpenConnect是一種SSL?VPN，相對(duì)于IPsec技術(shù)，其優(yōu)點(diǎn)在于：

1. IPsec的配置非常復(fù)雜，沒有經(jīng)驗(yàn)的人員很難完成操作。

2. 網(wǎng)絡(luò)層的訪問控制粒度太大。

3. IPsec需要支持NAT穿透技術(shù)，如果鏈路上路由器配置了防火墻則很難實(shí)現(xiàn)。

相較之下，SSL?VPN的使用無需過多培訓(xùn)，能夠根據(jù)內(nèi)容、地址和安全情況進(jìn)行細(xì)粒度的控制，且只需開放一對(duì)普通的TCP、UDP端口，管理起來也很方便。

在OpenWRT上，安裝ocserv包即可。配置文件僅有一個(gè)，就是/etc/ocserv.conf。實(shí)例配置文件如下：

用戶可以以證書登錄到VPN。注意，此時(shí)證書的CN必須是用戶名，比如wang。當(dāng)然，也可以使用用戶名加密碼的plain認(rèn)證，此時(shí)需執(zhí)行

會(huì)提示輸入密碼，創(chuàng)建名為wang的用戶。執(zhí)行

啟動(dòng)OpenConnect。在Windows下，客戶端可以使用思科的客戶端AnyConnect，也可以用OpenConnect-GUI。Linux的NetworkManager有OpenConnect的插件。OpenConnect-GUI配置如下：

保存連接，成功接入企業(yè)內(nèi)網(wǎng)：