如何在openwrt路由器上安裝使用openconnect客戶端？

系統(tǒng)環(huán)境：OpenWrt 19.07.1

硬件：極路由1S

一、路由器刷機(jī)

在OpenWrt官方網(wǎng)站選擇適合自己路由器的固件，然后刷機(jī)。

我用的極路由1s的芯片是MT7620，型號(hào)為HC5661，所以選擇如下固件：

http://downloads.openwrt.org/releases/19.07.2/targets/ramips/mt7620/openwrt-19.07.2-ramips-mt7620-hc5661-squashfs-sysupgrade.bin

二、安裝openconnect

putty連接路由器，輸入以下命令：

opkg update

opkg install luci-proto-openconnect openconnect

三、openconnect設(shè)置

1、OpenWrt 官方的設(shè)置說(shuō)明：

openconnect2.PNG

2、在interface中建立一個(gè)新接口，根據(jù)官方說(shuō)明，最好命名為ocvpn，協(xié)議選擇OpenConnect(CISCO AnyConnect)。

openconnect3.PNG

3、OpenWrt 圖形界面設(shè)置如下：

openconnect1.PNG

注：如果你填寫(xiě)的是用戶名和密碼，則不需要填寫(xiě)用戶證書(shū)和用戶密鑰。

四、附加說(shuō)明：

1、VPN server sha1 的獲?。?/h6>

在linux終端中輸入以下命令（用你自己的vpn server地址和端口取代vpn.example.com:443）：

openssl s_client -connect vpn.example.com:443 -showcerts 2>/dev/null </dev/null | awk '/-----BEGIN/,/-----END/ { print $0 }' | openssl x509 -noout -fingerprint -sha1 | sed 's/Fingerprint=//' | sed 's/://g'

2、你可能需要用到證書(shū)分離：

p12(或者pfx)文件里一般存放有CA的根證書(shū),用戶證書(shū)和用戶的私鑰

假設(shè)我們有一個(gè)test.p12文件，在安裝了openssl的linux終端上執(zhí)行以下命令:

提取用戶證書(shū):

openssl pkcs12 -in test.p12 -clcerts -nokeys -out cert.pem

提取私鑰:

openssl pkcs12 -in test.p12 -nocerts -out key.pem

根據(jù)OpenWrt的要求，必須清除秘鑰中的密碼

openssl rsa -in key.pem -out newkey.pem

3、將pem文件用SCP程序上傳到路由器的/etc/openconnect目錄下，官方要求pem文件要命名為：user-cert-vpn-ocvpn.pem和user-key-vpn-ocvpn.pem。

或者直接將其base64編碼（用記事本打開(kāi)pem文件即可獲?。┱迟N到圖片所示的輸入框中。

參考文章：

Openconnect client for openwrt

OpenWrt Openconnect client setup #280

OpenWrt Project: OpenConnect Client

AnyConnect Server(Ocserv) & Client(Openwrt, Linux, Windows & Mac) Configuares