a4e03d4af368be48d054aa4319e198b293038e16
[strongswan.git] / conf / options / charon.opt
1 charon {}
2         Options for the charon IKE daemon.
3
4         Options for the charon IKE daemon.
5
6         **Note**: Many of the options in this section also apply to **charon-cmd**
7         and other **charon** derivatives.  Just use their respective name (e.g.
8         **charon-cmd** instead of **charon**). For many options defaults can be
9         defined in the **libstrongswan** section.
10
11 charon.accept_unencrypted_mainmode_messages = no
12         Accept unencrypted ID and HASH payloads in IKEv1 Main Mode.
13
14         Accept unencrypted ID and HASH payloads in IKEv1 Main Mode.
15
16         Some implementations send the third Main Mode message unencrypted, probably
17         to find the PSKs for the specified ID for authentication. This is very
18         similar to Aggressive Mode, and has the same security implications: A
19         passive attacker can sniff the negotiated Identity, and start brute forcing
20         the PSK using the HASH payload.
21
22         It is recommended to keep this option to no, unless you know exactly
23         what the implications are and require compatibility to such devices (for
24         example, some SonicWall boxes).
25
26 charon.block_threshold = 5
27         Maximum number of half-open IKE_SAs for a single peer IP.
28
29 charon.cert_cache = yes
30         Whether relations in validated certificate chains should be cached in
31         memory.
32
33 charon.cisco_unity = no
34         Send Cisco Unity vendor ID payload (IKEv1 only).
35
36 charon.close_ike_on_child_failure = no
37         Close the IKE_SA if setup of the CHILD_SA along with IKE_AUTH failed.
38
39 charon.cookie_threshold = 10
40         Number of half-open IKE_SAs that activate the cookie mechanism.
41
42 charon.crypto_test.bench = no
43         Benchmark crypto algorithms and order them by efficiency.
44
45 charon.crypto_test.bench_size = 1024
46         Buffer size used for crypto benchmark.
47
48 charon.crypto_test.bench_time = 50
49         Number of iterations to test each algorithm.
50
51 charon.crypto_test.on_add = no
52         Test crypto algorithms during registration (requires test vectors provided
53         by the _test-vectors_ plugin).
54
55 charon.crypto_test.on_create = no
56         Test crypto algorithms on each crypto primitive instantiation.
57
58 charon.crypto_test.required = no
59         Strictly require at least one test vector to enable an algorithm.
60
61 charon.crypto_test.rng_true = no
62         Whether to test RNG with TRUE quality; requires a lot of entropy.
63
64 charon.dh_exponent_ansi_x9_42 = yes
65         Use ANSI X9.42 DH exponent size or optimum size matched to cryptographic
66         strength.
67
68 charon.dlopen_use_rtld_now = no
69         Use RTLD_NOW with dlopen when loading plugins and IMV/IMCs to reveal missing
70         symbols immediately.
71
72 charon.dns1
73         DNS server assigned to peer via configuration payload (CP).
74
75 charon.dns2
76         DNS server assigned to peer via configuration payload (CP).
77
78 charon.dos_protection = yes
79         Enable Denial of Service protection using cookies and aggressiveness checks.
80
81 charon.ecp_x_coordinate_only = yes
82         Compliance with the errata for RFC 4753.
83
84 charon.flush_auth_cfg = no
85         Free objects during authentication (might conflict with plugins).
86
87         If enabled objects used during authentication (certificates, identities
88         etc.) are released to free memory once an IKE_SA is established. Enabling
89         this might conflict with plugins that later need access to e.g. the used
90         certificates.
91
92 charon.fragment_size = 0
93         Maximum size (complete IP datagram size in bytes) of a sent IKE fragment
94         when using proprietary IKEv1 or standardized IKEv2 fragmentation (0 for
95         address family specific default values). If specified this limit is used
96         for both IPv4 and IPv6.
97
98 charon.group
99         Name of the group the daemon changes to after startup.
100
101 charon.half_open_timeout = 30
102         Timeout in seconds for connecting IKE_SAs (also see IKE_SA_INIT DROPPING).
103
104 charon.hash_and_url = no
105         Enable hash and URL support.
106
107 charon.host_resolver.max_threads = 3
108         Maximum number of concurrent resolver threads (they are terminated if
109         unused).
110
111 charon.host_resolver.min_threads = 0
112         Minimum number of resolver threads to keep around.
113
114 charon.i_dont_care_about_security_and_use_aggressive_mode_psk = no
115         Allow IKEv1 Aggressive Mode with pre-shared keys as responder.
116
117         If enabled responders are allowed to use IKEv1 Aggressive Mode with
118         pre-shared keys, which is discouraged due to security concerns (offline
119         attacks on the openly transmitted hash of the PSK).
120
121 charon.ignore_routing_tables
122         A space-separated list of routing tables to be excluded from route lookups.
123
124 charon.ignore_acquire_ts = no
125         Whether to ignore the traffic selectors from the kernel's acquire events for
126         IKEv2 connections (they are not used for IKEv1).
127
128         If this is disabled the traffic selectors from the kernel's acquire events,
129         which are derived from the triggering packet, are prepended to the traffic
130         selectors from the configuration for IKEv2 connection. By enabling this,
131         such specific traffic selectors will be ignored and only the ones in the
132         config will     be sent. This always happens for IKEv1 connections as the
133         protocol only supports one set of traffic selectors per CHILD_SA.
134
135 charon.ikesa_limit = 0
136         Maximum number of IKE_SAs that can be established at the same time before
137         new connection attempts are blocked.
138
139 charon.ikesa_table_segments = 1
140         Number of exclusively locked segments in the hash table.
141
142 charon.ikesa_table_size = 1
143         Size of the IKE_SA hash table.
144
145 charon.inactivity_close_ike = no
146         Whether to close IKE_SA if the only CHILD_SA closed due to inactivity.
147
148 charon.init_limit_half_open = 0
149         Limit new connections based on the current number of half open IKE_SAs, see
150         IKE_SA_INIT DROPPING in **strongswan.conf**(5).
151
152 charon.init_limit_job_load = 0
153         Limit new connections based on the number of queued jobs.
154
155         Limit new connections based on the number of jobs currently queued for
156         processing (see IKE_SA_INIT DROPPING).
157
158 charon.initiator_only = no
159         Causes charon daemon to ignore IKE initiation requests.
160
161 charon.install_routes = yes
162         Install routes into a separate routing table for established IPsec tunnels.
163
164 charon.install_virtual_ip = yes
165         Install virtual IP addresses.
166
167 charon.install_virtual_ip_on
168         The name of the interface on which virtual IP addresses should be installed.
169
170         The name of the interface on which virtual IP addresses should be installed.
171         If not specified the addresses will be installed on the outbound interface.
172
173 charon.integrity_test = no
174         Check daemon, libstrongswan and plugin integrity at startup.
175
176 charon.interfaces_ignore
177         A comma-separated list of network interfaces that should be ignored, if
178         **interfaces_use** is specified this option has no effect.
179
180 charon.interfaces_use
181         A comma-separated list of network interfaces that should be used by charon.
182         All other interfaces are ignored.
183
184 charon.keep_alive = 20s
185         NAT keep alive interval.
186
187 charon.leak_detective.detailed = yes
188         Includes source file names and line numbers in leak detective output.
189
190 charon.leak_detective.usage_threshold = 10240
191         Threshold in bytes for leaks to be reported (0 to report all).
192
193 charon.leak_detective.usage_threshold_count = 0
194         Threshold in number of allocations for leaks to be reported (0 to report
195         all).
196
197 charon.load
198         Plugins to load in the IKE daemon charon.
199
200 charon.load_modular = no
201         Determine plugins to load via each plugin's load option.
202
203         If enabled, the list of plugins to load is determined via the value of the
204         _charon.plugins.<name>.load_ options.  In addition to a simple boolean flag
205         that option may take an integer value indicating the priority of a plugin,
206         which would influence the order of a plugin in the plugin list (the default
207         is 1). If two plugins have the same priority their order in the default
208         plugin list is preserved. Enabled plugins not found in that list are ordered
209         alphabetically before other plugins with the same priority.
210
211 charon.max_ikev1_exchanges = 3
212         Maximum number of IKEv1 phase 2 exchanges per IKE_SA to keep state about and
213         track concurrently.
214
215 charon.max_packet = 10000
216         Maximum packet size accepted by charon.
217
218 charon.make_before_break = no
219         Initiate IKEv2 reauthentication with a make-before-break scheme.
220
221         Initiate IKEv2 reauthentication with a make-before-break instead of a
222         break-before-make scheme. Make-before-break uses overlapping IKE and
223         CHILD_SA during reauthentication by first recreating all new SAs before
224         deleting the old ones. This behavior can be beneficial to avoid connectivity
225         gaps during reauthentication, but requires support for overlapping SAs by
226         the peer. strongSwan can handle such overlapping SAs since version 5.3.0.
227
228 charon.multiple_authentication = yes
229         Enable multiple authentication exchanges (RFC 4739).
230
231 charon.nbns1
232         WINS servers assigned to peer via configuration payload (CP).
233
234 charon.nbns2
235         WINS servers assigned to peer via configuration payload (CP).
236
237 charon.port = 500
238         UDP port used locally. If set to 0 a random port will be allocated.
239
240 charon.port_nat_t = 4500
241         UDP port used locally in case of NAT-T. If set to 0 a random port will be
242         allocated.  Has to be different from **charon.port**, otherwise a random
243         port will be allocated.
244
245 charon.prefer_temporary_addrs = no
246         By default public IPv6 addresses are preferred over temporary ones (RFC
247         4941), to make connections more stable. Enable this option to reverse this.
248
249 charon.process_route = yes
250         Process RTM_NEWROUTE and RTM_DELROUTE events.
251
252 charon.processor.priority_threads {}
253         Section to configure the number of reserved threads per priority class
254         see JOB PRIORITY MANAGEMENT in **strongswan.conf**(5).
255
256 charon.receive_delay = 0
257         Delay in ms for receiving packets, to simulate larger RTT.
258
259 charon.receive_delay_response = yes
260         Delay response messages.
261
262 charon.receive_delay_request = yes
263         Delay request messages.
264
265 charon.receive_delay_type = 0
266         Specific IKEv2 message type to delay, 0 for any.
267
268 charon.replay_window = 32
269         Size of the AH/ESP replay window, in packets.
270
271 charon.retransmit_base = 1.8
272         Base to use for calculating exponential back off, see IKEv2 RETRANSMISSION
273         in **strongswan.conf**(5).
274
275 charon.retransmit_timeout = 4.0
276         Timeout in seconds before sending first retransmit.
277
278 charon.retransmit_tries = 5
279         Number of times to retransmit a packet before giving up.
280
281 charon.retry_initiate_interval = 0
282         Interval in seconds to use when retrying to initiate an IKE_SA (e.g. if DNS
283         resolution failed), 0 to disable retries.
284
285 charon.reuse_ikesa = yes
286         Initiate CHILD_SA within existing IKE_SAs (always enabled for IKEv1).
287
288 charon.routing_table
289         Numerical routing table to install routes to.
290
291 charon.routing_table_prio
292         Priority of the routing table.
293
294 charon.send_delay = 0
295         Delay in ms for sending packets, to simulate larger RTT.
296
297 charon.send_delay_response = yes
298         Delay response messages.
299
300 charon.send_delay_request = yes
301         Delay request messages.
302
303 charon.send_delay_type = 0
304         Specific IKEv2 message type to delay, 0 for any.
305
306 charon.send_vendor_id = no
307         Send strongSwan vendor ID payload
308
309 charon.signature_authentication = yes
310         Whether to enable Signature Authentication as per RFC 7427.
311
312 charon.signature_authentication_constraints = yes
313         Whether to enable constraints against IKEv2 signature schemes.
314
315         If enabled, signature schemes configured in _rightauth_, in addition to
316         getting used as constraints against signature schemes employed in the
317         certificate chain, are also used as constraints against the signature scheme
318         used by peers during IKEv2.
319
320 charon.start-scripts {}
321         Section containing a list of scripts (name = path) that are executed when
322         the daemon is started.
323
324 charon.stop-scripts {}
325         Section containing a list of scripts (name = path) that are executed when
326         the daemon is terminated.
327
328 charon.threads = 16
329         Number of worker threads in charon.
330
331         Number of worker threads in charon. Several of these are reserved for long
332         running tasks in internal modules and plugins. Therefore, make sure you
333         don't set this value too low. The number of idle worker threads listed in
334         _ipsec statusall_ might be used as indicator on the number of reserved
335         threads.
336
337 charon.tls.cipher
338         List of TLS encryption ciphers.
339
340 charon.tls.key_exchange
341         List of TLS key exchange methods.
342
343 charon.tls.mac
344         List of TLS MAC algorithms.
345
346 charon.tls.suites
347         List of TLS cipher suites.
348
349 charon.user
350         Name of the user the daemon changes to after startup.
351
352 charon.x509.enforce_critical = yes
353         Discard certificates with unsupported or unknown critical extensions.