conf/options/charon.opt

   1 charon {}
   2         Options for the charon IKE daemon.
   3
   4         Options for the charon IKE daemon.
   5
   6         **Note**: Many of the options in this section also apply to **charon-cmd**
   7         and other **charon** derivatives.  Just use their respective name (e.g.
   8         **charon-cmd** instead of **charon**). For many options defaults can be
   9         defined in the **libstrongswan** section.
  10
  11 charon.accept_unencrypted_mainmode_messages = no
  12         Accept unencrypted ID and HASH payloads in IKEv1 Main Mode.
  13
  14         Accept unencrypted ID and HASH payloads in IKEv1 Main Mode.
  15
  16         Some implementations send the third Main Mode message unencrypted, probably
  17         to find the PSKs for the specified ID for authentication. This is very
  18         similar to Aggressive Mode, and has the same security implications: A
  19         passive attacker can sniff the negotiated Identity, and start brute forcing
  20         the PSK using the HASH payload.
  21
  22         It is recommended to keep this option to no, unless you know exactly
  23         what the implications are and require compatibility to such devices (for
  24         example, some SonicWall boxes).
  25
  26 charon.block_threshold = 5
  27         Maximum number of half-open IKE_SAs for a single peer IP.
  28
  29 charon.cert_cache = yes
  30         Whether relations in validated certificate chains should be cached in
  31         memory.
  32
  33 charon.cisco_unity = no
  34         Send Cisco Unity vendor ID payload (IKEv1 only).
  35
  36 charon.close_ike_on_child_failure = no
  37         Close the IKE_SA if setup of the CHILD_SA along with IKE_AUTH failed.
  38
  39 charon.cookie_threshold = 10
  40         Number of half-open IKE_SAs that activate the cookie mechanism.
  41
  42 charon.crypto_test.bench = no
  43         Benchmark crypto algorithms and order them by efficiency.
  44
  45 charon.crypto_test.bench_size = 1024
  46         Buffer size used for crypto benchmark.
  47
  48 charon.crypto_test.bench_time = 50
  49         Number of iterations to test each algorithm.
  50
  51 charon.crypto_test.on_add = no
  52         Test crypto algorithms during registration (requires test vectors provided
  53         by the _test-vectors_ plugin).
  54
  55 charon.crypto_test.on_create = no
  56         Test crypto algorithms on each crypto primitive instantiation.
  57
  58 charon.crypto_test.required = no
  59         Strictly require at least one test vector to enable an algorithm.
  60
  61 charon.crypto_test.rng_true = no
  62         Whether to test RNG with TRUE quality; requires a lot of entropy.
  63
  64 charon.dh_exponent_ansi_x9_42 = yes
  65         Use ANSI X9.42 DH exponent size or optimum size matched to cryptographic
  66         strength.
  67
  68 charon.dns1
  69         DNS server assigned to peer via configuration payload (CP).
  70
  71 charon.dns2
  72         DNS server assigned to peer via configuration payload (CP).
  73
  74 charon.dos_protection = yes
  75         Enable Denial of Service protection using cookies and aggressiveness checks.
  76
  77 charon.ecp_x_coordinate_only = yes
  78         Compliance with the errata for RFC 4753.
  79
  80 charon.flush_auth_cfg = no
  81         Free objects during authentication (might conflict with plugins).
  82
  83         If enabled objects used during authentication (certificates, identities
  84         etc.) are released to free memory once an IKE_SA is established. Enabling
  85         this might conflict with plugins that later need access to e.g. the used
  86         certificates.
  87
  88 charon.fragment_size = 512
  89         Maximum size (in bytes) of a sent fragment when using the proprietary IKEv1
  90         fragmentation extension.
  91
  92 charon.group
  93         Name of the group the daemon changes to after startup.
  94
  95 charon.half_open_timeout = 30
  96         Timeout in seconds for connecting IKE_SAs (also see IKE_SA_INIT DROPPING).
  97
  98 charon.hash_and_url = no
  99         Enable hash and URL support.
 100
 101 charon.host_resolver.max_threads = 3
 102         Maximum number of concurrent resolver threads (they are terminated if
 103         unused).
 104
 105 charon.host_resolver.min_threads = 0
 106         Minimum number of resolver threads to keep around.
 107
 108 charon.i_dont_care_about_security_and_use_aggressive_mode_psk = no
 109         Allow IKEv1 Aggressive Mode with pre-shared keys as responder.
 110
 111         If enabled responders are allowed to use IKEv1 Aggressive Mode with
 112         pre-shared keys, which is discouraged due to security concerns (offline
 113         attacks on the openly transmitted hash of the PSK).
 114
 115 charon.ignore_routing_tables
 116         A space-separated list of routing tables to be excluded from route lookups.
 117
 118 charon.ikesa_limit = 0
 119         Maximum number of IKE_SAs that can be established at the same time before
 120         new connection attempts are blocked.
 121
 122 charon.ikesa_table_segments = 1
 123         Number of exclusively locked segments in the hash table.
 124
 125 charon.ikesa_table_size = 1
 126         Size of the IKE_SA hash table.
 127
 128 charon.inactivity_close_ike = no
 129         Whether to close IKE_SA if the only CHILD_SA closed due to inactivity.
 130
 131 charon.init_limit_half_open = 0
 132         Limit new connections based on the current number of half open IKE_SAs, see
 133         IKE_SA_INIT DROPPING in **strongswan.conf**(5).
 134
 135 charon.init_limit_job_load = 0
 136         Limit new connections based on the number of queued jobs.
 137
 138         Limit new connections based on the number of jobs currently queued for
 139         processing (see IKE_SA_INIT DROPPING).
 140
 141 charon.initiator_only = no
 142         Causes charon daemon to ignore IKE initiation requests.
 143
 144 charon.install_routes = yes
 145         Install routes into a separate routing table for established IPsec tunnels.
 146
 147 charon.install_virtual_ip = yes
 148         Install virtual IP addresses.
 149
 150 charon.install_virtual_ip_on
 151         The name of the interface on which virtual IP addresses should be installed.
 152
 153         The name of the interface on which virtual IP addresses should be installed.
 154         If not specified the addresses will be installed on the outbound interface.
 155
 156 charon.integrity_test = no
 157         Check daemon, libstrongswan and plugin integrity at startup.
 158
 159 charon.interfaces_ignore
 160         A comma-separated list of network interfaces that should be ignored, if
 161         **interfaces_use** is specified this option has no effect.
 162
 163 charon.interfaces_use
 164         A comma-separated list of network interfaces that should be used by charon.
 165         All other interfaces are ignored.
 166
 167 charon.keep_alive = 20s
 168         NAT keep alive interval.
 169
 170 charon.leak_detective.detailed = yes
 171         Includes source file names and line numbers in leak detective output.
 172
 173 charon.leak_detective.usage_threshold = 10240
 174         Threshold in bytes for leaks to be reported (0 to report all).
 175
 176 charon.leak_detective.usage_threshold_count = 0
 177         Threshold in number of allocations for leaks to be reported (0 to report
 178         all).
 179
 180 charon.load
 181         Plugins to load in the IKE daemon charon.
 182
 183 charon.load_modular = no
 184         Determine plugins to load via each plugin's load option.
 185
 186         If enabled, the list of plugins to load is determined via the value of the
 187         _charon.plugins.<name>.load_ options.  In addition to a simple boolean flag
 188         that option may take an integer value indicating the priority of a plugin,
 189         which would influence the order of a plugin in the plugin list (the default
 190         is 1). If two plugins have the same priority their order in the default
 191         plugin list is preserved. Enabled plugins not found in that list are ordered
 192         alphabetically before other plugins with the same priority.
 193
 194 charon.max_packet = 10000
 195         Maximum packet size accepted by charon.
 196
 197 charon.multiple_authentication = yes
 198         Enable multiple authentication exchanges (RFC 4739).
 199
 200 charon.nbns1
 201         WINS servers assigned to peer via configuration payload (CP).
 202
 203 charon.nbns2
 204         WINS servers assigned to peer via configuration payload (CP).
 205
 206 charon.port = 500
 207         UDP port used locally. If set to 0 a random port will be allocated.
 208
 209 charon.port_nat_t = 4500
 210         UDP port used locally in case of NAT-T. If set to 0 a random port will be
 211         allocated.  Has to be different from **charon.port**, otherwise a random
 212         port will be allocated.
 213
 214 charon.prefer_temporary_addrs = no
 215         By default public IPv6 addresses are preferred over temporary ones (RFC
 216         4941), to make connections more stable. Enable this option to reverse this.
 217
 218 charon.process_route = yes
 219         Process RTM_NEWROUTE and RTM_DELROUTE events.
 220
 221 charon.processor.priority_threads {}
 222         Section to configure the number of reserved threads per priority class
 223         see JOB PRIORITY MANAGEMENT in **strongswan.conf**(5).
 224
 225 charon.receive_delay = 0
 226         Delay in ms for receiving packets, to simulate larger RTT.
 227
 228 charon.receive_delay_response = yes
 229         Delay response messages.
 230
 231 charon.receive_delay_request = yes
 232         Delay request messages.
 233
 234 charon.receive_delay_type = 0
 235         Specific IKEv2 message type to delay, 0 for any.
 236
 237 charon.replay_window = 32
 238         Size of the AH/ESP replay window, in packets.
 239
 240 charon.retransmit_base = 1.8
 241         Base to use for calculating exponential back off, see IKEv2 RETRANSMISSION
 242         in **strongswan.conf**(5).
 243
 244 charon.retransmit_timeout = 4.0
 245         Timeout in seconds before sending first retransmit.
 246
 247 charon.retransmit_tries = 5
 248         Number of times to retransmit a packet before giving up.
 249
 250 charon.retry_initiate_interval = 0
 251         Interval to use when retrying to initiate an IKE_SA (e.g. if DNS resolution
 252         failed), 0 to disable retries.
 253
 254 charon.reuse_ikesa = yes
 255         Initiate CHILD_SA within existing IKE_SAs.
 256
 257 charon.routing_table
 258         Numerical routing table to install routes to.
 259
 260 charon.routing_table_prio
 261         Priority of the routing table.
 262
 263 charon.send_delay = 0
 264         Delay in ms for sending packets, to simulate larger RTT.
 265
 266 charon.send_delay_response = yes
 267         Delay response messages.
 268
 269 charon.send_delay_request = yes
 270         Delay request messages.
 271
 272 charon.send_delay_type = 0
 273         Specific IKEv2 message type to delay, 0 for any.
 274
 275 charon.send_vendor_id = no
 276         Send strongSwan vendor ID payload
 277
 278 charon.threads = 16
 279         Number of worker threads in charon.
 280
 281         Number of worker threads in charon. Several of these are reserved for long
 282         running tasks in internal modules and plugins. Therefore, make sure you
 283         don't set this value too low. The number of idle worker threads listed in
 284         _ipsec statusall_ might be used as indicator on the number of reserved
 285         threads.
 286
 287 charon.tls.cipher
 288         List of TLS encryption ciphers.
 289
 290 charon.tls.key_exchange
 291         List of TLS key exchange methods.
 292
 293 charon.tls.mac
 294         List of TLS MAC algorithms.
 295
 296 charon.tls.suites
 297         List of TLS cipher suites.
 298
 299 charon.user
 300         Name of the user the daemon changes to after startup.
 301
 302 charon.x509.enforce_critical = yes
 303         Discard certificates with unsupported or unknown critical extensions.