Fix various API doc issues and typos
[strongswan.git] / src / charon-cmd / charon-cmd.8.in
1 .TH CHARON\-CMD 8 "2013-06-21" "@IPSEC_VERSION@" "strongSwan"
2 .SH "NAME"
3 charon\-cmd \- Simple IKE client (IPsec VPN client)
4 .SH SYNOPSIS
5 .B charon\-cmd
6 .B \-\-host
7 .I hostname
8 .B \-\-identity
9 .I identity
10 .B [ options ]
11 .PP
12 .SH "DESCRIPTION"
13 .B charon\-cmd
14 is a program for setting up IPsec VPN connections using the Internet Key
15 Exchange protocol (IKE) in version 1 and 2.  It supports a number of different
16 road-warrior scenarios.
17 .PP
18 Like the IKE daemon
19 .BR charon ,
20 .B charon\-cmd
21 has to be run as
22 .B root
23 (or more specifically as a user with
24 .B CAP_NET_ADMIN
25 capability).
26 .PP
27 Of the following options at least
28 .I \-\-host
29 and
30 .I \-\-identity
31 are required. Depending on the selected authentication
32 .I profile
33 credentials also have to be provided with their respective options.
34 .PP
35 Many of the
36 .BR charon -specific
37 configuration options in
38 .I strongswan.conf
39 also apply to
40 .BR charon\-cmd .
41 For instance, to configure customized logging to
42 .B stdout
43 the following snippet can be used:
44 .PP
45 .EX
46         charon-cmd {
47                 filelog {
48                         stdout {
49                                 default = 1
50                                 ike = 2
51                                 cfg = 2
52                         }
53                 }
54         }
55 .EE
56 .PP
57 .SH "OPTIONS"
58 .TP
59 .B "\-\-help"
60 Prints usage information and a short summary of the available options.
61 .TP
62 .B "\-\-version"
63 Prints the strongSwan version.
64 .TP
65 .BI "\-\-debug " level
66 Sets the default log level (defaults to 1).
67 .I level
68 is a number between -1 and 4.
69 Refer to
70 .I strongswan.conf
71 for options that allow a more fine-grained configuration of the logging
72 output.
73 .TP
74 .BI "\-\-host " hostname
75 DNS name or IP address to connect to.
76 .TP
77 .BI "\-\-identity " identity
78 Identity the client uses for the IKE exchange.
79 .TP
80 .BI "\-\-remote\-identity " identity
81 Server identity to expect, defaults to
82 .IR hostname .
83 .TP
84 .BI "\-\-cert " path
85 Trusted certificate, either for authentication or trust chain validation.
86 To provide more than one certificate multiple
87 .B \-\-cert
88 options can be used.
89 .TP
90 .BI "\-\-rsa " path
91 RSA private key to use for authentication (if a password is required, it will
92 be requested on demand).
93 .TP
94 .BI "\-\-p12 " path
95 PKCS#12 file with private key and certificates to use for authentication and
96 trust chain validation (if a password is required it will be requested on
97 demand).
98 .TP
99 .RI "\fB\-\-agent\fR[=" socket ]
100 Use SSH agent for authentication. If
101 .I socket
102 is not specified it is read from the
103 .B SSH_AUTH_SOCK
104 environment variable.
105 .TP
106 .BI "\-\-local\-ts " subnet
107 Additional traffic selector to propose for our side, the requested virtual IP
108 address will always be proposed.
109 .TP
110 .BI "\-\-remote\-ts " subnet
111 Traffic selector to propose for remote side, defaults to 0.0.0.0/0.
112 .TP
113 .BI "\-\-profile " name
114 Authentication profile to use, the list of supported profiles can be found
115 in the
116 .B Authentication Profiles
117 sections below. Defaults to
118 .B ikev2\-pub
119 if a private key was supplied, and to
120 .B ikev2\-eap
121 otherwise.
122 .PP
123 .SS "IKEv2 Authentication Profiles"
124 .TP
125 .B "ikev2\-pub"
126 IKEv2 with public key client and server authentication
127 .TP
128 .B "ikev2\-eap"
129 IKEv2 with EAP client authentication and public key server authentication
130 .TP
131 .B "ikev2\-pub\-eap"
132 IKEv2 with public key and EAP client authentication (RFC 4739) and public key
133 server authentication
134 .PP
135 .SS "IKEv1 Authentication Profiles"
136 The following authentication profiles use either Main Mode or Aggressive Mode,
137 the latter is denoted with a \fB\-am\fR suffix.
138 .TP
139 .BR "ikev1\-pub" ", " "ikev1\-pub\-am"
140 IKEv1 with public key client and server authentication
141 .TP
142 .BR "ikev1\-xauth" ", " "ikev1\-xauth\-am"
143 IKEv1 with public key client and server authentication, followed by client XAuth
144 authentication
145 .TP
146 .BR "ikev1\-xauth\-psk" ", " "ikev1\-xauth\-psk\-am"
147 IKEv1 with pre-shared key (PSK) client and server authentication, followed by
148 client XAuth authentication (INSECURE!)
149 .TP
150 .BR "ikev1\-hybrid" ", " "ikev1\-hybrid\-am"
151 IKEv1 with public key server authentication only, followed by client XAuth
152 authentication
153 .PP
154 .SH "SEE ALSO"
155 \fBstrongswan.conf\fR(5), \fBipsec\fR(8)