Moved load-tester configuration to a separate section.
[strongswan.git] / man / strongswan.conf.5.in
1 .TH STRONGSWAN.CONF 5 "2010-09-09" "@IPSEC_VERSION@" "strongSwan"
2 .SH NAME
3 strongswan.conf \- strongSwan configuration file
4 .SH DESCRIPTION
5 While the
6 .IR ipsec.conf (5)
7 configuration file is well suited to define IPsec related configuration
8 parameters, it is not useful for other strongSwan applications to read options
9 from this file.
10 The file is hard to parse and only
11 .I ipsec starter
12 is capable of doing so. As the number of components of the strongSwan project
13 is continually growing, a more flexible configuration file was needed, one that
14 is easy to extend and can be used by all components. With strongSwan 4.2.1
15 .IR strongswan.conf (5)
16 was introduced which meets these requirements.
17
18 .SH SYNTAX
19 The format of the strongswan.conf file consists of hierarchical
20 .B sections
21 and a list of
22 .B key/value pairs
23 in each section. Each section has a name, followed by C-Style curly brackets
24 defining the section body. Each section body contains a set of subsections
25 and key/value pairs:
26 .PP
27 .EX
28         settings := (section|keyvalue)*
29         section  := name { settings }
30         keyvalue := key = value\\n
31 .EE
32 .PP
33 Values must be terminated by a newline.
34 .PP
35 Comments are possible using the \fB#\fP-character, but be careful: The parser
36 implementation is currently limited and does not like brackets in comments.
37 .PP
38 Section names and keys may contain any printable character except:
39 .PP
40 .EX
41         . { } # \\n \\t space
42 .EE
43 .PP
44 An example file in this format might look like this:
45 .PP
46 .EX
47         a = b
48         section-one {
49                 somevalue = asdf
50                 subsection {
51                         othervalue = xxx
52                 }
53                 # yei, a comment
54                 yetanother = zz
55         }
56         section-two {
57                 x = 12
58         }
59 .EE
60 .PP
61 Indentation is optional, you may use tabs or spaces.
62
63 .SH READING VALUES
64 Values are accessed using a dot-separated section list and a key.
65 With reference to the example above, accessing
66 .B section-one.subsection.othervalue
67 will return
68 .BR xxx .
69
70 .SH DEFINED KEYS
71 The following keys are currently defined (using dot notation). The default
72 value (if any) is listed in brackets after the key.
73
74 .SS charon section
75 .TP
76 .BR charon.block_threshold " [5]"
77 Maximum number of half-open IKE_SAs for a single peer IP
78 .TP
79 .BR charon.close_ike_on_child_failure " [no]"
80 Close the IKE_SA if setup of the CHILD_SA along with IKE_AUTH failed
81 .TP
82 .BR charon.cookie_threshold " [10]"
83 Number of half-open IKE_SAs that activate the cookie mechanism
84 .TP
85 .BR charon.dns1
86 .TQ
87 .BR charon.dns2
88 DNS servers assigned to peer via configuration payload (CP)
89 .TP
90 .BR charon.dos_protection " [yes]"
91 Enable Denial of Service protection using cookies and aggressiveness checks
92 .TP
93 .BR charon.filelog
94 Section to define file loggers, see LOGGER CONFIGURATION
95 .TP
96 .BR charon.hash_and_url " [no]"
97 Enable hash and URL support
98 .TP
99 .BR charon.ikesa_table_segments " [1]"
100 Number of exclusively locked segments in the hash table
101 .TP
102 .BR charon.ikesa_table_size " [1]"
103 Size of the IKE_SA hash table
104 .TP
105 .BR charon.inactivity_close_ike " [no]"
106 Whether to close IKE_SA if the only CHILD_SA closed due to inactivity
107 .TP
108 .BR charon.install_routes " [yes]"
109 Install routes into a separate routing table for established IPsec tunnels
110 .TP
111 .BR charon.keep_alive " [20s]"
112 NAT keep alive interval
113 .TP
114 .BR charon.load
115 Plugins to load in IKEv2 charon daemon
116 .TP
117 .BR charon.multiple_authentication " [yes]"
118 Enable multiple authentication exchanges (RFC 4739)
119 .TP
120 .BR charon.nbns1
121 .TQ
122 .BR charon.nbns2
123 WINS servers assigned to peer via configuration payload (CP)
124 .TP
125 .BR charon.process_route " [yes]"
126 Process RTM_NEWROUTE and RTM_DELROUTE events
127 .TP
128 .BR charon.retransmit_base " [1.8]"
129 Base to use for calculating exponential back off, see IKEv2 RETRANSMISSION
130 .TP
131 .BR charon.retransmit_timeout " [4.0]
132 Timeout in seconds before sending first retransmit
133 .TP
134 .BR charon.retransmit_tries " [5]"
135 Number of times to retransmit a packet before giving up
136 .TP
137 .BR charon.reuse_ikesa " [yes]
138 Initiate CHILD_SA within existing IKE_SAs
139 .TP
140 .BR charon.routing_table
141 Numerical routing table to install routes to
142 .TP
143 .BR charon.routing_table_prio
144 Priority of the routing table
145 .TP
146 .BR charon.send_vendor_id " [no]
147 Send strongSwan vendor ID payload
148 .TP
149 .BR charon.syslog
150 Section to define syslog loggers, see LOGGER CONFIGURATION
151 .TP
152 .BR charon.threads " [16]"
153 Number of worker threads in charon
154 .SS charon.plugins subsection
155 .TP
156 .BR charon.plugins.dhcp.identity_lease " [no]"
157 Derive user-defined MAC address from hash of IKEv2 identity
158 .TP
159 .BR charon.plugins.dhcp.server " [255.255.255.255]"
160 DHCP server unicast or broadcast IP address
161 .TP
162 .BR charon.plugins.eap-aka.request_identity " [yes]"
163 .TP
164 .BR charon.plugins.eap-aka-3ggp2.seq_check
165 .TP
166 .BR charon.plugins.eap-gtc.pam_service " [login]"
167 PAM service to be used for authentication
168 .TP
169 .BR charon.plugins.eap-radius.secret
170 Shared secret between RADIUS and NAS
171 .TP
172 .BR charon.plugins.eap-radius.server
173 IP/Hostname of RADIUS server
174 .TP
175 .BR charon.plugins.eap-radius.port " [1812]"
176 Port of RADIUS server (authentication)
177 .TP
178 .BR charon.plugins.eap-radius.sockets " [5]"
179 Number of sockets (ports) to use, increase for high load
180 .TP
181 .BR charon.plugins.eap-radius.nas_identifier " [strongSwan]"
182 NAS-Identifier to include in RADIUS messages
183 .TP
184 .BR charon.plugins.eap-radius.eap_start " [no]"
185 Send EAP-Start instead of EAP-Identity to start RADIUS conversation
186 .TP
187 .BR charon.plugins.eap-radius.id_prefix
188 Prefix to EAP-Identity, some AAA servers use a IMSI prefix to select the EAP method
189 .TP
190 .BR charon.plugins.eap-sim.request_identity " [yes]"
191
192 .TP
193 .BR charon.plugins.eap-tls.fragment_size " [1024]"
194 Maximum size of an EAP-TLS packet
195 .TP
196 .BR charon.plugins.eap-tls.max_message_count " [32]"
197 Maximum number of processed EAP-TLS packets
198 .TP
199 .BR charon.plugins.eap-ttls.fragment_size " [1024]"
200 Maximum size of an EAP-TTLS packet
201 .TP
202 .BR charon.plugins.eap-ttls.max_message_count " [32]"
203 Maximum number of processed EAP-TTLS packets
204 .TP
205 .BR charon.plugins.eap-ttls.phase2_method " [md5]"
206 Phase2 EAP client authentication method
207 .TP
208 .BR charon.plugins.eap-ttls.phase2_piggyback " [no]"
209 Phase2 EAP Identity request piggybacked by server onto TLS Finished message
210 .TP
211 .BR charon.plugins.eap-ttls.request_peer_auth " [no]"
212 Request peer authentication based on a client certificate
213 .TP
214 .BR charon.plugins.ha.fifo_interface " [yes]"
215
216 .TP
217 .BR charon.plugins.ha.local
218
219 .TP
220 .BR charon.plugins.ha.monitor " [yes]"
221
222 .TP
223 .BR charon.plugins.ha.remote
224
225 .TP
226 .BR charon.plugins.ha.resync " [yes]"
227
228 .TP
229 .BR charon.plugins.ha.secret
230
231 .TP
232 .BR charon.plugins.ha.segment_count " [1]"
233
234 .TP
235 .BR charon.plugins.kernel-klips.ipsec_dev_mtu " [0]"
236 Set MTU of ipsecN device
237 .TP
238 .BR charon.plugins.load-tester
239 Section to configure the load-tester plugin, see LOAD TESTS
240 .TP
241 .BR charon.plugins.resolve.file " [/etc/resolv.conf]"
242 File where to add DNS server entries
243 .TP
244 .BR charon.plugins.sql.database
245 Database URI for charons SQL plugin
246 .TP
247 .BR charon.plugins.sql.loglevel " [-1]"
248 Loglevel for logging to SQL database
249 .SS libstrongswan section
250 .TP
251 .BR libstrongswan.dh_exponent_ansi_x9_42 " [yes]"
252 Use ANSI X9.42 DH exponent size or optimum size matched to cryptographical strength
253 .TP
254 .BR libstrongswan.crypto_test.on_add " [no]"
255 Test crypto algorithms during registration
256 .TP
257 .BR libstrongswan.crypto_test.on_create " [no]"
258 Test crypto algorithms on each crypto primitive instantiation
259 .TP
260 .BR libstrongswan.crypto_test.required " [no]"
261 Strictly require at least one test vector to enable an algorithm
262 .TP
263 .BR libstrongswan.crypto_test.rng_true " [no]"
264 Whether to test RNG with TRUE quality; requires a lot of entropy
265 .TP
266 .BR libstrongswan.ecp_x_coordinate_only " [yes]"
267 Compliance with the errata for RFC 4753
268 .TP
269 .BR libstrongswan.integrity_test " [no]"
270 Check daemon, libstrongswan and plugin integrity at startup
271 .SS libstrongswan.plugins subsection
272 .TP
273 .BR libstrongswan.plugins.attr-sql.database
274 Database URI for attr-sql plugin used by charon and pluto
275 .TP
276 .BR libstrongswan.plugins.attr-sql.lease_history " [yes]"
277 Enable logging of SQL IP pool leases
278 .TP
279 .BR libstrongswan.plugins.gcrypt.quick_random " [no]"
280 Use faster random numbers in gcrypt; for testing only, produces weak keys!
281 .TP
282 .BR libstrongswan.plugins.openssl.engine_id " [pkcs11]"
283 ENGINE ID to use in the OpenSSL plugin
284 .TP
285 .BR libstrongswan.plugins.x509.enforce_critical " [no]"
286 Discard certificates with unsupported or unknown critical extensions
287 .SS libtls section
288 .TP
289 .BR libtls.cipher
290 List of TLS encryption ciphers
291 .TP
292 .BR libtls.key_exchange
293 List of TLS key exchange methods
294 .TP
295 .BR libtls.mac
296 List of TLS MAC algorithms
297 .SS manager section
298 .TP
299 .BR manager.database
300 Credential database URI for manager
301 .TP
302 .BR manager.debug " [no]"
303 Enable debugging in manager
304 .TP
305 .BR manager.load
306 Plugins to load in manager
307 .TP
308 .BR manager.socket
309 FastCGI socket of manager, to run it statically
310 .TP
311 .BR manager.threads " [10]"
312 Threads to use for request handling
313 .TP
314 .BR manager.timeout " [15m]"
315 Session timeout for manager
316 .SS mediation client section
317 .TP
318 .BR medcli.database
319 Mediation client database URI
320 .TP
321 .BR medcli.dpd " [5m]"
322 DPD timeout to use in mediation client plugin
323 .TP
324 .BR medcli.rekey " [20m]"
325 Rekeying time on mediation connections in mediation client plugin
326 .SS mediation server section
327 .TP
328 .BR medsrv.database
329 Mediation server database URI
330 .TP
331 .BR medsrv.debug " [no]"
332 Debugging in mediation server web application
333 .TP
334 .BR medsrv.dpd " [5m]"
335 DPD timeout to use in mediation server plugin
336 .TP
337 .BR medsrv.load
338 Plugins to load in mediation server plugin
339 .TP
340 .BR medsrv.password_length " [6]"
341 Minimum password length required for mediation server user accounts
342 .TP
343 .BR medsrv.rekey " [20m]"
344 Rekeying time on mediation connections in mediation server plugin
345 .TP
346 .BR medsrv.socket
347 Run Mediation server web application statically on socket
348 .TP
349 .BR medsrv.threads " [5]"
350 Number of thread for mediation service web application
351 .TP
352 .BR medsrv.timeout " [15m]"
353 Session timeout for mediation service
354 .SS openac section
355 .TP
356 .BR openac.load
357 Plugins to load in ipsec openac tool
358 .SS pki section
359 .TP
360 .BR pki.load
361 Plugins to load in ipsec pki tool
362 .SS pluto section
363 .TP
364 .BR pluto.dns1
365 .TQ
366 .BR pluto.dns2
367 DNS servers assigned to peer via configuration payload (CP)
368 .TP
369 .BR pluto.load
370 Plugins to load in IKEv1 pluto daemon
371 .TP
372 .BR pluto.nbns1
373 .TQ
374 .BR pluto.nbns2
375 WINS servers assigned to peer via configuration payload (CP)
376 .SS pool section
377 .TP
378 .BR pool.load
379 Plugins to load in ipsec pool tool
380 .SS scepclient section
381 .TP
382 .BR scepclient.load
383 Plugins to load in ipsec scepclient tool
384 .SS starter section
385 .TP
386 .BR starter.load_warning " [yes]"
387 Disable charon/pluto plugin load option warning
388
389 .SH LOGGER CONFIGURATION
390 The options described below provide a much more flexible way to configure
391 loggers for the IKEv2 daemon charon than using the
392 .B charondebug
393 option in
394 .BR ipsec.conf (5).
395 .PP
396 .B Please note
397 that if any loggers are specified in strongswan.conf,
398 .B charondebug
399 does not have any effect.
400 .PP
401 There are currently two types of loggers defined:
402 .TP
403 .B File loggers
404 Log directly to a file and are defined by specifying the full path to the
405 file as subsection in the
406 .B charon.filelog
407 section. To log to the console the two special filenames
408 .BR stdout " and " stderr
409 can be used.
410 .TP
411 .B Syslog loggers
412 Log into a syslog facility and are defined by specifying the facility to log to
413 as the name of a subsection in the
414 .B charon.syslog
415 section. The following facilities are currently supported:
416 .BR daemon " and " auth .
417 .PP
418 Multiple loggers can be defined for each type with different log verbosity for
419 the different subsystems of the daemon.
420 .SS Options
421 .TP
422 .BR charon.filelog.<filename>.default " [1]"
423 .TQ
424 .BR charon.syslog.<facility>.default
425 Specifies the default loglevel to be used for subsystems for which no specific
426 loglevel is defined.
427 .TP
428 .BR charon.filelog.<filename>.<subsystem> " [<default>]"
429 .TQ
430 .BR charon.syslog.<facility>.<subsystem>
431 Defines the loglevel for the given subsystem.
432 .TP
433 .BR charon.filelog.<filename>.append " [yes]"
434 If this option is enabled log entries are appended to the existing file
435 .TP
436 .BR charon.filelog.<filename>.flush_line " [no]"
437 Enabling this option disables block buffering and enables line buffering.
438 .TP
439 .BR charon.filelog.<filename>.ike_name " [no]"
440 .TQ
441 .BR charon.syslog.<facility>.ike_name
442 Prefix each log entry with the connection name and a unique numerical
443 identifier for each IKE_SA.
444 .TP
445 .BR charon.filelog.<filename>.time_format
446 Prefix each log entry with a timestamp. The option accepts a format string as
447 passed to
448 .BR strftime (3).
449
450 .SS Subsystems
451 .TP
452 .B dmn
453 Main daemon setup/cleanup/signal handling
454 .TP
455 .B mgr
456 IKE_SA manager, handling synchronization for IKE_SA access
457 .TP
458 .B ike
459 IKE_SA
460 .TP
461 .B chd
462 CHILD_SA
463 .TP
464 .B job
465 Jobs queueing/processing and thread pool management
466 .TP
467 .B cfg
468 Configuration management and plugins
469 .TP
470 .B knl
471 IPsec/Networking kernel interface
472 .TP
473 .B net
474 IKE network communication
475 .TP
476 .B enc
477 Packet encoding/decoding encryption/decryption operations
478 .TP
479 .B tls
480 libtls library messages
481 .TP
482 .B lib
483 libstrongwan library messages
484 .SS Loglevels
485 .TP
486 .B -1
487 Absolutely silent
488 .TP
489 .B 0
490 Very basic auditing logs, (e.g. SA up/SA down)
491 .TP
492 .B 1
493 Generic control flow with errors, a good default to see whats going on
494 .TP
495 .B 2
496 More detailed debugging control flow
497 .TP
498 .B 3
499 Including RAW data dumps in Hex
500 .TP
501 .B 4
502 Also include sensitive material in dumps, e.g. keys
503 .SS Example
504 .PP
505 .EX
506         charon {
507                 filelog {
508                         /var/log/charon.log {
509                                 time_format = %b %e %T
510                                 append = no
511                                 default = 1
512                         }
513                         stderr {
514                                 ike = 2
515                                 knl = 3
516                                 ike_name = yes
517                         }
518                 }
519                 syslog {
520                         # enable logging to LOG_DAEMON, use defaults
521                         daemon {
522                         }
523                         # minimalistic IKE auditing logging to LOG_AUTHPRIV
524                         auth {
525                                 default = -1
526                                 ike = 0
527                         }
528                 }
529         }
530 .EE
531
532 .SH LOAD TESTS
533 To do stability testing and performance optimizations, the IKEv2 daemon charon
534 provides the load-tester plugin. This plugin allows to setup thousands of
535 tunnels concurrently against the daemon itself or a remote host.
536 .PP
537 .B WARNING:
538 Never enable the load-testing plugin on productive systems. It provides
539 preconfigured credentials and allows an attacker to authenticate as any user.
540 .SS Options
541 .TP
542 .BR charon.plugins.load-tester.child_rekey " [600]"
543 Seconds to start CHILD_SA rekeying after setup
544 .TP
545 .BR charon.plugins.load-tester.delay " [0]"
546 Delay between initiatons for each thread
547 .TP
548 .BR charon.plugins.load-tester.delete_after_established " [no]"
549 Delete an IKE_SA as soon as it has been established
550 .TP
551 .BR charon.plugins.load-tester.enable " [no]"
552 Enable the load testing plugin
553 .TP
554 .BR charon.plugins.load-tester.fake_kernel " [no]"
555 Fake the kernel interface to allow load-testing against self
556 .TP
557 .BR charon.plugins.load-tester.ike_rekey " [0]"
558 Seconds to start IKE_SA rekeying after setup
559 .TP
560 .BR charon.plugins.load-tester.initiators " [0]"
561 Number of concurrent initiator threads to use in load test
562 .TP
563 .BR charon.plugins.load-tester.initiator_auth " [pubkey]"
564 Authentication method(s) the intiator uses
565 .TP
566 .BR charon.plugins.load-tester.iterations " [1]"
567 Number of IKE_SAs to initate by each initiator in load test
568 .TP
569 .BR charon.plugins.load-tester.pool
570 Provide INTERNAL_IPV4_ADDRs from a named pool
571 .TP
572 .BR charon.plugins.load-tester.proposal " [aes128-sha1-modp1024]"
573 IKE proposal to use in load test
574 .TP
575 .BR charon.plugins.load-tester.remote " [127.0.0.1]"
576 Address to initiation connections to
577 .TP
578 .BR charon.plugins.load-tester.responder_auth " [pubkey]"
579 Authentication method(s) the responder uses
580 .TP
581 .BR charon.plugins.load-tester.request_virtual_ip " [no]"
582 Request an INTERNAL_IPV4_ADDR from the server
583 .TP
584 .BR charon.plugins.load-tester.shutdown_when_complete " [no]"
585 Shutdown the daemon after all IKE_SA have been established
586 .SS Configuration details
587 For public key authentication, the responder uses the
588 .B \(dqCN=srv, OU=load-test, O=strongSwan\(dq
589 identity. For the initiator, each connection attempt uses a different identity
590 in the form
591 .BR "\(dqCN=c1-r1, OU=load-test, O=strongSwan\(dq" ,
592 where the first number inidicates the client number, the second the
593 authentication round (if multiple authentication is used).
594 .PP
595 For PSK authentication, FQDN identities are used. The server uses
596 .BR srv.strongswan.org ,
597 the client uses an identity in the form
598 .BR c1-r1.strongswan.org .
599 .PP
600 For EAP authentication, the client uses a NAI in the form
601 .BR 100000000010001@strongswan.org .
602 .PP
603 To configure multiple authentication, concatenate multiple methods using, e.g.
604 .EX
605         initiator_auth = pubkey|psk|eap-md5|eap-aka
606 .EE
607 .PP
608 The responder uses a hardcoded certificate based on a 1024-bit RSA key.
609 This certificate additionally serves as CA certificate. A peer uses the same
610 private key, but generates client certificates on demand signed by the CA
611 certificate. Install the Responder/CA certificate on the remote host to
612 authenticate all clients.
613 .PP
614 To speed up testing, the load tester plugin implements a special Diffie-Hellman
615 implementation called modpnull. By setting
616 .EX
617         proposal = aes128-sha1-modpnull
618 .EE
619 this wicked fast DH implementation is used. It does not provide any security
620 at all, but allows to run tests without DH calculation overhead.
621 .SS Examples
622 .PP
623 In the simplest case, the daemon initiates IKE_SAs against itself using the
624 loopback interface. This will actually establish double the number of IKE_SAs,
625 as the daemon is initiator and responder for each IKE_SA at the same time.
626 Installation of IPsec SAs would fails, as each SA gets installed twice. To
627 simulate the correct behavior, a fake kernel interface can be enabled which does
628 not install the IPsec SAs at the kernel level.
629 .PP
630 A simple loopback configuration might look like this:
631 .PP
632 .EX
633         charon {
634                 # create new IKE_SAs for each CHILD_SA to simulate
635                 # different clients
636                 reuse_ikesa = no
637                 # turn off denial of service protection
638                 dos_protection = no
639
640                 plugins {
641                         load-tester {
642                                 # enable the plugin
643                                 enable = yes
644                                 # use 4 threads to initiate connections
645                                 # simultaneously
646                                 initiators = 4
647                                 # each thread initiates 1000 connections
648                                 iterations = 1000
649                                 # delay each initiation in each thread by 20ms
650                                 delay = 20
651                                 # enable the fake kernel interface to
652                                 # avoid SA conflicts
653                                 fake_kernel = yes
654                         }
655                 }
656         }
657 .EE
658 .PP
659 This will initiate 4000 IKE_SAs within 20 seconds. You may increase the delay
660 value if your box can not handle that much load, or decrease it to put more
661 load on it. If the daemon starts retransmitting messages your box probably can
662 not handle all connection attempts.
663 .PP
664 The plugin also allows to test against a remote host. This might help to test
665 against a real world configuration. A connection setup to do stress testing of
666 a gateway might look like this:
667 .PP
668 .EX
669         charon {
670                 reuse_ikesa = no
671                 threads = 32
672
673                 plugins {
674                         load-tester {
675                                 enable = yes
676                                 # 10000 connections, ten in parallel
677                                 initiators = 10
678                                 iterations = 1000
679                                 # use a delay of 100ms, overall time is:
680                                 # iterations * delay = 100s
681                                 delay = 100
682                                 # address of the gateway
683                                 remote = 1.2.3.4
684                                 # IKE-proposal to use
685                                 proposal = aes128-sha1-modp1024
686                                 # use faster PSK authentication instead
687                                 # of 1024bit RSA
688                                 initiator_auth = psk
689                                 responder_auth = psk
690                                 # request a virtual IP using configuration
691                                 # payloads
692                                 request_virtual_ip = yes
693                                 # enable CHILD_SA every 60s
694                                 child_rekey = 60
695                         }
696                 }
697         }
698 .EE
699
700 .SH IKEv2 RETRANSMISSION
701 Retransmission timeouts in the IKEv2 daemon charon can be configured globally
702 using the three keys listed below:
703 .PP
704 .RS
705 .nf
706 .BR charon.retransmit_base " [1.8]"
707 .BR charon.retransmit_timeout " [4.0]"
708 .BR charon.retransmit_tries " [5]"
709 .fi
710 .RE
711 .PP
712 The following algorithm is used to calculate the timeout:
713 .PP
714 .EX
715         relative timeout = retransmit_timeout * retransmit_base ^ (n-1)
716 .EE
717 .PP
718 Where
719 .I n
720 is the current retransmission count.
721 .PP
722 Using the default values, packets are retransmitted in:
723
724 .TS
725 l r r
726 ---
727 lB r r.
728 Retransmission  Relative Timeout        Absolute Timeout
729 1       4s      4s
730 2       7s      11s
731 3       13s     24s
732 4       23s     47s
733 5       42s     89s
734 giving up       76s     165s
735 .TE
736
737 .SH FILES
738 /etc/strongswan.conf
739
740 .SH SEE ALSO
741 ipsec.conf (5), ipsec.secrets (5)
742 .SH HISTORY
743 Written for the
744 .UR http://www.strongswan.org
745 strongSwan project
746 .UE
747 by Tobias Brunner, Andreas Steffen and Martin Willi.