charon-cmd: Link strongswan.conf(5) and charon-cmd(8) man pages
[strongswan.git] / src / charon-cmd / charon-cmd.8.in
1 .TH CHARON\-CMD 8 "2013-06-21" "@IPSEC_VERSION@" "strongSwan"
2 .SH "NAME"
3 charon\-cmd \- Simple IKE client (IPsec VPN client)
4 .SH SYNOPSIS
5 .B charon\-cmd
6 .B \-\-host
7 .I hostname
8 .B \-\-identity
9 .I identity
10 .B [ options ]
11 .PP
12 .SH "DESCRIPTION"
13 .B charon\-cmd
14 is a program for setting up IPsec VPN connections using the Internet Key
15 Exchange protocol (IKE) in version 1 and 2.  It supports a number of different
16 road-warrior scenarios.
17 .PP
18 Like the IKE daemon
19 .BR charon ,
20 .B charon\-cmd
21 has to be run as
22 .B root
23 (or more specifically as a user with
24 .B CAP_NET_ADMIN
25 capability).
26 .PP
27 Of the following options at least
28 .I \-\-host
29 and
30 .I \-\-identity
31 are required. Depending on the selected authentication
32 .I profile
33 credentials also have to be provided with their respective options.
34 .PP
35 Many of the
36 .BR charon -specific
37 configuration options in
38 .I strongswan.conf
39 also apply to
40 .BR charon\-cmd .
41 For instance, to configure customized logging to
42 .B stdout
43 the following snippet can be used:
44 .PP
45 .EX
46         charon-cmd {
47                 filelog {
48                         stdout {
49                                 default = 1
50                                 ike = 2
51                                 cfg = 2
52                         }
53                 }
54         }
55 .EE
56 .PP
57 .SH "OPTIONS"
58 .TP
59 .BI "\-\-host " hostname
60 DNS name or IP address to connect to.
61 .TP
62 .BI "\-\-identity " identity
63 Identity the client uses for the IKE exchange.
64 .TP
65 .BI "\-\-remote\-identity " identity
66 Server identity to expect, defaults to
67 .IR hostname .
68 .TP
69 .BI "\-\-cert " path
70 Trusted certificate, either for authentication or trust chain validation.
71 To provide more than one certificate multiple
72 .B \-\-cert
73 options can be used.
74 .TP
75 .BI "\-\-rsa " path
76 RSA private key to use for authentication (if a password is required, it will
77 be requested on demand).
78 .TP
79 .BI "\-\-p12 " path
80 PKCS#12 file with private key and certificates to use for authentication and
81 trust chain validation (if a password is required it will be requested on
82 demand).
83 .TP
84 .RI "\fB\-\-agent\fR[=" socket ]
85 Use SSH agent for authentication. If
86 .I socket
87 is not specified it is read from the
88 .B SSH_AUTH_SOCK
89 environment variable.
90 .TP
91 .BI "\-\-local\-ts " subnet
92 Additional traffic selector to propose for our side, the requested virtual IP
93 address will always be proposed.
94 .TP
95 .BI "\-\-remote\-ts " subnet
96 Traffic selector to propose for remote side, defaults to 0.0.0.0/0.
97 .TP
98 .BI "\-\-profile " name
99 Authentication profile to use, the list of supported profiles can be found
100 in the
101 .B Authentication Profiles
102 sections below. Defaults to
103 .B ikev2\-pub
104 if a private key was supplied, and to
105 .B ikev2\-eap
106 otherwise.
107 .PP
108 .SS "IKEv2 Authentication Profiles"
109 .TP
110 .B "ikev2\-pub"
111 IKEv2 with public key client and server authentication
112 .TP
113 .B "ikev2\-eap"
114 IKEv2 with EAP client authentication and public key server authentication
115 .TP
116 .B "ikev2\-pub\-eap"
117 IKEv2 with public key and EAP client authentication (RFC 4739) and public key
118 server authentication
119 .PP
120 .SS "IKEv1 Authentication Profiles"
121 The following authentication profiles use either Main Mode or Aggressive Mode,
122 the latter is denoted with a \fB\-am\fR suffix.
123 .TP
124 .BR "ikev1\-pub" ", " "ikev1\-pub\-am"
125 IKEv1 with public key client and server authentication
126 .TP
127 .BR "ikev1\-xauth" ", " "ikev1\-xauth\-am"
128 IKEv1 with public key client and server authentication, followed by client XAuth
129 authentication
130 .TP
131 .BR "ikev1\-xauth\-psk" ", " "ikev1\-xauth\-psk\-am"
132 IKEv1 with pre-shared key (PSK) client and server authentication, followed by
133 client XAuth authentication (INSECURE!)
134 .TP
135 .BR "ikev1\-hybrid" ", " "ikev1\-hybrid\-am"
136 IKEv1 with public key server authentication only, followed by client XAuth
137 authentication
138 .PP
139 .SH "SEE ALSO"
140 \fBstrongswan.conf\fR(5), \fBipsec\fR(8)