ikev1: Move fragment generation to message_t
[strongswan.git] / conf / options / charon.opt
1 charon {}
2         Options for the charon IKE daemon.
3
4         Options for the charon IKE daemon.
5
6         **Note**: Many of the options in this section also apply to **charon-cmd**
7         and other **charon** derivatives.  Just use their respective name (e.g.
8         **charon-cmd** instead of **charon**). For many options defaults can be
9         defined in the **libstrongswan** section.
10
11 charon.accept_unencrypted_mainmode_messages = no
12         Accept unencrypted ID and HASH payloads in IKEv1 Main Mode.
13
14         Accept unencrypted ID and HASH payloads in IKEv1 Main Mode.
15
16         Some implementations send the third Main Mode message unencrypted, probably
17         to find the PSKs for the specified ID for authentication. This is very
18         similar to Aggressive Mode, and has the same security implications: A
19         passive attacker can sniff the negotiated Identity, and start brute forcing
20         the PSK using the HASH payload.
21
22         It is recommended to keep this option to no, unless you know exactly
23         what the implications are and require compatibility to such devices (for
24         example, some SonicWall boxes).
25
26 charon.block_threshold = 5
27         Maximum number of half-open IKE_SAs for a single peer IP.
28
29 charon.cert_cache = yes
30         Whether relations in validated certificate chains should be cached in
31         memory.
32
33 charon.cisco_unity = no
34         Send Cisco Unity vendor ID payload (IKEv1 only).
35
36 charon.close_ike_on_child_failure = no
37         Close the IKE_SA if setup of the CHILD_SA along with IKE_AUTH failed.
38
39 charon.cookie_threshold = 10
40         Number of half-open IKE_SAs that activate the cookie mechanism.
41
42 charon.crypto_test.bench = no
43         Benchmark crypto algorithms and order them by efficiency.
44
45 charon.crypto_test.bench_size = 1024
46         Buffer size used for crypto benchmark.
47
48 charon.crypto_test.bench_time = 50
49         Number of iterations to test each algorithm.
50
51 charon.crypto_test.on_add = no
52         Test crypto algorithms during registration (requires test vectors provided
53         by the _test-vectors_ plugin).
54
55 charon.crypto_test.on_create = no
56         Test crypto algorithms on each crypto primitive instantiation.
57
58 charon.crypto_test.required = no
59         Strictly require at least one test vector to enable an algorithm.
60
61 charon.crypto_test.rng_true = no
62         Whether to test RNG with TRUE quality; requires a lot of entropy.
63
64 charon.dh_exponent_ansi_x9_42 = yes
65         Use ANSI X9.42 DH exponent size or optimum size matched to cryptographic
66         strength.
67
68 charon.dns1
69         DNS server assigned to peer via configuration payload (CP).
70
71 charon.dns2
72         DNS server assigned to peer via configuration payload (CP).
73
74 charon.dos_protection = yes
75         Enable Denial of Service protection using cookies and aggressiveness checks.
76
77 charon.ecp_x_coordinate_only = yes
78         Compliance with the errata for RFC 4753.
79
80 charon.flush_auth_cfg = no
81         Free objects during authentication (might conflict with plugins).
82
83         If enabled objects used during authentication (certificates, identities
84         etc.) are released to free memory once an IKE_SA is established. Enabling
85         this might conflict with plugins that later need access to e.g. the used
86         certificates.
87
88 charon.fragment_size = 0
89         Maximum size (complete IP datagram size in bytes) of a sent fragment when
90         using the proprietary IKEv1     fragmentation extension (0 for address family
91         specific default values). If specified this limit is used for IPv4 and IPv6.
92
93 charon.group
94         Name of the group the daemon changes to after startup.
95
96 charon.half_open_timeout = 30
97         Timeout in seconds for connecting IKE_SAs (also see IKE_SA_INIT DROPPING).
98
99 charon.hash_and_url = no
100         Enable hash and URL support.
101
102 charon.host_resolver.max_threads = 3
103         Maximum number of concurrent resolver threads (they are terminated if
104         unused).
105
106 charon.host_resolver.min_threads = 0
107         Minimum number of resolver threads to keep around.
108
109 charon.i_dont_care_about_security_and_use_aggressive_mode_psk = no
110         Allow IKEv1 Aggressive Mode with pre-shared keys as responder.
111
112         If enabled responders are allowed to use IKEv1 Aggressive Mode with
113         pre-shared keys, which is discouraged due to security concerns (offline
114         attacks on the openly transmitted hash of the PSK).
115
116 charon.ignore_routing_tables
117         A space-separated list of routing tables to be excluded from route lookups.
118
119 charon.ikesa_limit = 0
120         Maximum number of IKE_SAs that can be established at the same time before
121         new connection attempts are blocked.
122
123 charon.ikesa_table_segments = 1
124         Number of exclusively locked segments in the hash table.
125
126 charon.ikesa_table_size = 1
127         Size of the IKE_SA hash table.
128
129 charon.inactivity_close_ike = no
130         Whether to close IKE_SA if the only CHILD_SA closed due to inactivity.
131
132 charon.init_limit_half_open = 0
133         Limit new connections based on the current number of half open IKE_SAs, see
134         IKE_SA_INIT DROPPING in **strongswan.conf**(5).
135
136 charon.init_limit_job_load = 0
137         Limit new connections based on the number of queued jobs.
138
139         Limit new connections based on the number of jobs currently queued for
140         processing (see IKE_SA_INIT DROPPING).
141
142 charon.initiator_only = no
143         Causes charon daemon to ignore IKE initiation requests.
144
145 charon.install_routes = yes
146         Install routes into a separate routing table for established IPsec tunnels.
147
148 charon.install_virtual_ip = yes
149         Install virtual IP addresses.
150
151 charon.install_virtual_ip_on
152         The name of the interface on which virtual IP addresses should be installed.
153
154         The name of the interface on which virtual IP addresses should be installed.
155         If not specified the addresses will be installed on the outbound interface.
156
157 charon.integrity_test = no
158         Check daemon, libstrongswan and plugin integrity at startup.
159
160 charon.interfaces_ignore
161         A comma-separated list of network interfaces that should be ignored, if
162         **interfaces_use** is specified this option has no effect.
163
164 charon.interfaces_use
165         A comma-separated list of network interfaces that should be used by charon.
166         All other interfaces are ignored.
167
168 charon.keep_alive = 20s
169         NAT keep alive interval.
170
171 charon.leak_detective.detailed = yes
172         Includes source file names and line numbers in leak detective output.
173
174 charon.leak_detective.usage_threshold = 10240
175         Threshold in bytes for leaks to be reported (0 to report all).
176
177 charon.leak_detective.usage_threshold_count = 0
178         Threshold in number of allocations for leaks to be reported (0 to report
179         all).
180
181 charon.load
182         Plugins to load in the IKE daemon charon.
183
184 charon.load_modular = no
185         Determine plugins to load via each plugin's load option.
186
187         If enabled, the list of plugins to load is determined via the value of the
188         _charon.plugins.<name>.load_ options.  In addition to a simple boolean flag
189         that option may take an integer value indicating the priority of a plugin,
190         which would influence the order of a plugin in the plugin list (the default
191         is 1). If two plugins have the same priority their order in the default
192         plugin list is preserved. Enabled plugins not found in that list are ordered
193         alphabetically before other plugins with the same priority.
194
195 charon.max_packet = 10000
196         Maximum packet size accepted by charon.
197
198 charon.multiple_authentication = yes
199         Enable multiple authentication exchanges (RFC 4739).
200
201 charon.nbns1
202         WINS servers assigned to peer via configuration payload (CP).
203
204 charon.nbns2
205         WINS servers assigned to peer via configuration payload (CP).
206
207 charon.port = 500
208         UDP port used locally. If set to 0 a random port will be allocated.
209
210 charon.port_nat_t = 4500
211         UDP port used locally in case of NAT-T. If set to 0 a random port will be
212         allocated.  Has to be different from **charon.port**, otherwise a random
213         port will be allocated.
214
215 charon.prefer_temporary_addrs = no
216         By default public IPv6 addresses are preferred over temporary ones (RFC
217         4941), to make connections more stable. Enable this option to reverse this.
218
219 charon.process_route = yes
220         Process RTM_NEWROUTE and RTM_DELROUTE events.
221
222 charon.processor.priority_threads {}
223         Section to configure the number of reserved threads per priority class
224         see JOB PRIORITY MANAGEMENT in **strongswan.conf**(5).
225
226 charon.receive_delay = 0
227         Delay in ms for receiving packets, to simulate larger RTT.
228
229 charon.receive_delay_response = yes
230         Delay response messages.
231
232 charon.receive_delay_request = yes
233         Delay request messages.
234
235 charon.receive_delay_type = 0
236         Specific IKEv2 message type to delay, 0 for any.
237
238 charon.replay_window = 32
239         Size of the AH/ESP replay window, in packets.
240
241 charon.retransmit_base = 1.8
242         Base to use for calculating exponential back off, see IKEv2 RETRANSMISSION
243         in **strongswan.conf**(5).
244
245 charon.retransmit_timeout = 4.0
246         Timeout in seconds before sending first retransmit.
247
248 charon.retransmit_tries = 5
249         Number of times to retransmit a packet before giving up.
250
251 charon.retry_initiate_interval = 0
252         Interval to use when retrying to initiate an IKE_SA (e.g. if DNS resolution
253         failed), 0 to disable retries.
254
255 charon.reuse_ikesa = yes
256         Initiate CHILD_SA within existing IKE_SAs.
257
258 charon.routing_table
259         Numerical routing table to install routes to.
260
261 charon.routing_table_prio
262         Priority of the routing table.
263
264 charon.send_delay = 0
265         Delay in ms for sending packets, to simulate larger RTT.
266
267 charon.send_delay_response = yes
268         Delay response messages.
269
270 charon.send_delay_request = yes
271         Delay request messages.
272
273 charon.send_delay_type = 0
274         Specific IKEv2 message type to delay, 0 for any.
275
276 charon.send_vendor_id = no
277         Send strongSwan vendor ID payload
278
279 charon.start-scripts {}
280         Section containing a list of scripts (name = path) that are executed when
281         the daemon is started.
282
283 charon.stop-scripts {}
284         Section containing a list of scripts (name = path) that are executed when
285         the daemon is terminated.
286
287 charon.threads = 16
288         Number of worker threads in charon.
289
290         Number of worker threads in charon. Several of these are reserved for long
291         running tasks in internal modules and plugins. Therefore, make sure you
292         don't set this value too low. The number of idle worker threads listed in
293         _ipsec statusall_ might be used as indicator on the number of reserved
294         threads.
295
296 charon.tls.cipher
297         List of TLS encryption ciphers.
298
299 charon.tls.key_exchange
300         List of TLS key exchange methods.
301
302 charon.tls.mac
303         List of TLS MAC algorithms.
304
305 charon.tls.suites
306         List of TLS cipher suites.
307
308 charon.user
309         Name of the user the daemon changes to after startup.
310
311 charon.x509.enforce_critical = yes
312         Discard certificates with unsupported or unknown critical extensions.