Build generated man pages via configure script
[strongswan.git] / src / charon-cmd / charon-cmd.8.in
1 .TH CHARON\-CMD 8 "2013-06-21" "@PACKAGE_VERSION@" "strongSwan"
2 .SH "NAME"
3 charon\-cmd \- Simple IKE client (IPsec VPN client)
4 .SH SYNOPSIS
5 .B charon\-cmd
6 .B \-\-host
7 .I hostname
8 .B \-\-identity
9 .I identity
10 .B [ options ]
11 .PP
12 .SH "DESCRIPTION"
13 .B charon\-cmd
14 is a program for setting up IPsec VPN connections using the Internet Key
15 Exchange protocol (IKE) in version 1 and 2.  It supports a number of different
16 road-warrior scenarios.
17 .PP
18 Like the IKE daemon
19 .BR charon ,
20 .B charon\-cmd
21 has to be run as
22 .B root
23 (or more specifically as a user with
24 .B CAP_NET_ADMIN
25 capability).
26 .PP
27 Of the following options at least
28 .I \-\-host
29 and
30 .I \-\-identity
31 are required. Depending on the selected authentication
32 .I profile
33 credentials also have to be provided with their respective options.
34 .PP
35 Many of the
36 .BR charon -specific
37 configuration options in
38 .I strongswan.conf
39 also apply to
40 .BR charon\-cmd .
41 For instance, to configure customized logging to
42 .B stdout
43 the following snippet can be used:
44 .PP
45 .EX
46         charon-cmd {
47                 filelog {
48                         stdout {
49                                 default = 1
50                                 ike = 2
51                                 cfg = 2
52                         }
53                 }
54         }
55 .EE
56 .PP
57 .SH "OPTIONS"
58 .TP
59 .B "\-\-help"
60 Prints usage information and a short summary of the available options.
61 .TP
62 .B "\-\-version"
63 Prints the strongSwan version.
64 .TP
65 .BI "\-\-debug " level
66 Sets the default log level (defaults to 1).
67 .I level
68 is a number between -1 and 4.
69 Refer to
70 .I strongswan.conf
71 for options that allow a more fine-grained configuration of the logging
72 output.
73 .TP
74 .BI "\-\-host " hostname
75 DNS name or IP address to connect to.
76 .TP
77 .BI "\-\-identity " identity
78 Identity the client uses for the IKE exchange.
79 .TP
80 .BI "\-\-eap\-identity " identity
81 Identity the client uses for EAP authentication.
82 .TP
83 .BI "\-\-xauth\-username " username
84 Username the client uses for XAuth authentication.
85 .TP
86 .BI "\-\-remote\-identity " identity
87 Server identity to expect, defaults to
88 .IR hostname .
89 .TP
90 .BI "\-\-cert " path
91 Trusted certificate, either for authentication or trust chain validation.
92 To provide more than one certificate multiple
93 .B \-\-cert
94 options can be used.
95 .TP
96 .BI "\-\-rsa " path
97 RSA private key to use for authentication (if a password is required, it will
98 be requested on demand).
99 .TP
100 .BI "\-\-p12 " path
101 PKCS#12 file with private key and certificates to use for authentication and
102 trust chain validation (if a password is required it will be requested on
103 demand).
104 .TP
105 .RI "\fB\-\-agent\fR[=" socket ]
106 Use SSH agent for authentication. If
107 .I socket
108 is not specified it is read from the
109 .B SSH_AUTH_SOCK
110 environment variable.
111 .TP
112 .BI "\-\-local\-ts " subnet
113 Additional traffic selector to propose for our side, the requested virtual IP
114 address will always be proposed.
115 .TP
116 .BI "\-\-remote\-ts " subnet
117 Traffic selector to propose for remote side, defaults to 0.0.0.0/0.
118 .TP
119 .BI "\-\-profile " name
120 Authentication profile to use, the list of supported profiles can be found
121 in the
122 .B Authentication Profiles
123 sections below. Defaults to
124 .B ikev2\-pub
125 if a private key was supplied, and to
126 .B ikev2\-eap
127 otherwise.
128 .PP
129 .SS "IKEv2 Authentication Profiles"
130 .TP
131 .B "ikev2\-pub"
132 IKEv2 with public key client and server authentication
133 .TP
134 .B "ikev2\-eap"
135 IKEv2 with EAP client authentication and public key server authentication
136 .TP
137 .B "ikev2\-pub\-eap"
138 IKEv2 with public key and EAP client authentication (RFC 4739) and public key
139 server authentication
140 .PP
141 .SS "IKEv1 Authentication Profiles"
142 The following authentication profiles use either Main Mode or Aggressive Mode,
143 the latter is denoted with a \fB\-am\fR suffix.
144 .TP
145 .BR "ikev1\-pub" ", " "ikev1\-pub\-am"
146 IKEv1 with public key client and server authentication
147 .TP
148 .BR "ikev1\-xauth" ", " "ikev1\-xauth\-am"
149 IKEv1 with public key client and server authentication, followed by client XAuth
150 authentication
151 .TP
152 .BR "ikev1\-xauth\-psk" ", " "ikev1\-xauth\-psk\-am"
153 IKEv1 with pre-shared key (PSK) client and server authentication, followed by
154 client XAuth authentication (INSECURE!)
155 .TP
156 .BR "ikev1\-hybrid" ", " "ikev1\-hybrid\-am"
157 IKEv1 with public key server authentication only, followed by client XAuth
158 authentication
159 .PP
160 .SH "SEE ALSO"
161 \fBstrongswan.conf\fR(5), \fBipsec\fR(8)