762d830908506917518a7e4c9a3185b23ae9a4aa
[strongswan.git] / src / charon-cmd / charon-cmd.8.in
1 .TH CHARON\-CMD 8 "2013-06-16" "@IPSEC_VERSION@" "strongSwan"
2 .SH "NAME"
3 charon\-cmd \- Simple IKE client (IPsec VPN client)
4 .SH SYNOPSIS
5 .B charon\-cmd
6 .B \-\-host
7 .I hostname
8 .B \-\-identity
9 .I identity
10 .B [ options ]
11 .PP
12 .SH "DESCRIPTION"
13 .B charon\-cmd
14 is a program for setting up IPsec VPN connections using the Internet Key
15 Exchange protocol (IKE) in version 1 and 2.  It supports a number of different
16 road-warrior scenarios.
17 .PP
18 Like the IKE daemon
19 .BR charon ,
20 .B charon\-cmd
21 has to be run as
22 .B root
23 (or more specifically as a user with
24 .B CAP_NET_ADMIN
25 capability).
26 .PP
27 Of the following options at least
28 .I \-\-host
29 and
30 .I \-\-identity
31 are required. Depending on the selected authentication
32 .I profile
33 credentials also have to be provided with their respective options.
34 .PP
35 .SH "OPTIONS"
36 .TP
37 .BI "\-\-host " hostname
38 DNS name or IP address to connect to.
39 .TP
40 .BI "\-\-identity " identity
41 Identity the client uses for the IKE exchange.
42 .TP
43 .BI "\-\-remote\-identity " identity
44 Server identity to expect, defaults to
45 .IR hostname .
46 .TP
47 .BI "\-\-cert " path
48 Trusted certificate, either for authentication or trust chain validation.
49 To provide more than one certificate multiple
50 .B \-\-cert
51 options can be used.
52 .TP
53 .BI "\-\-rsa " path
54 RSA private key to use for authentication (if a password is required, it will
55 be requested on demand).
56 .TP
57 .BI "\-\-p12 " path
58 PKCS#12 file with private key and certificates to use for authentication and
59 trust chain validation (if a password is required it will be requested on
60 demand).
61 .TP
62 .RI "\fB\-\-agent\fR[=" socket ]
63 Use SSH agent for authentication. If
64 .I socket
65 is not specified it is read from the
66 .B SSH_AUTH_SOCK
67 environment variable.
68 .TP
69 .BI "\-\-local\-ts " subnet
70 Additional traffic selector to propose for our side, the requested virtual IP
71 address will always be proposed.
72 .TP
73 .BI "\-\-remote\-ts " subnet
74 Traffic selector to propose for remote side, defaults to 0.0.0.0/0.
75 .TP
76 .BI "\-\-profile " name
77 Authentication profile to use, the list of supported profiles can be found
78 in the
79 .B Authentication Profiles
80 sections below. Defaults to
81 .B ikev2\-pub
82 if a private key was supplied, and to
83 .B ikev2\-eap
84 otherwise.
85 .PP
86 .SS "IKEv2 Authentication Profiles"
87 .TP
88 .B "ikev2\-pub"
89 IKEv2 with public key client and server authentication
90 .TP
91 .B "ikev2\-eap"
92 IKEv2 with EAP client authentication and public key server authentication
93 .TP
94 .B "ikev2\-pub\-eap"
95 IKEv2 with public key and EAP client authentication (RFC 4739) and public key
96 server authentication
97 .PP
98 .SS "IKEv1 Authentication Profiles"
99 The following authentication profiles use either Main Mode or Aggressive Mode,
100 the latter is denoted with a \fB\-am\fR suffix.
101 .TP
102 .BR "ikev1\-pub" ", " "ikev1\-pub\-am"
103 IKEv1 with public key client and server authentication
104 .TP
105 .BR "ikev1\-xauth" ", " "ikev1\-xauth\-am"
106 IKEv1 with public key client and server authentication, followed by client XAuth
107 authentication
108 .TP
109 .BR "ikev1\-xauth\-psk" ", " "ikev1\-xauth\-psk\-am"
110 IKEv1 with pre-shared key (PSK) client and server authentication, followed by
111 client XAuth authentication (INSECURE!)
112 .TP
113 .BR "ikev1\-hybrid" ", " "ikev1\-hybrid\-am"
114 IKEv1 with public key server authentication only, followed by client XAuth
115 authentication
116 .PP
117 .SH "SEE ALSO"
118 \fBipsec\fR(8)