250cf807aad8e930933597c98349b0eea4e05140
[strongswan.git] / src / ipsec / _ipsec.8.in
1 .TH @IPSEC_SCRIPT_UPPER@ 8 "2013-10-29" "@IPSEC_VERSION@" "strongSwan"
2 .
3 .SH NAME
4 .
5 @IPSEC_SCRIPT@ \- invoke IPsec utilities
6 .
7 .SH SYNOPSIS
8 .
9 .SY @IPSEC_SCRIPT@
10 .I command
11 .RI [ arguments ]
12 .RI [ options ]
13 .YS
14 .
15 .SH DESCRIPTION
16 .
17 The
18 .B @IPSEC_SCRIPT@
19 utility invokes any of several utilities involved in controlling and monitoring
20 the IPsec encryption/authentication system, running the specified \fIcommand\fP
21 with the specified \fIarguments\fP and \fIoptions\fP as if it had been invoked
22 directly. This largely eliminates possible name collisions with other software,
23 and also permits some centralized services.
24 .P
25 All the commands described in this manual page are built-in and are used to
26 control and monitor IPsec connections as well as the IKE daemon.
27 .P
28 For other commands
29 .I @IPSEC_SCRIPT@
30 supplies the invoked
31 .I command
32 with a suitable PATH environment variable,
33 and also provides the environment variables listed under
34 .IR ENVIRONMENT .
35 .
36 .SS CONTROL COMMANDS
37 .
38 .TP
39 .BI "start [" "starter options" ]
40 calls
41 .B "starter"
42 which in turn parses \fIipsec.conf\fR and starts the IKE daemon \fIcharon\fR.
43 .
44 .TP
45 .B "update"
46 sends a \fIHUP\fR signal to
47 .BR "starter"
48 which in turn determines any changes in \fIipsec.conf\fR
49 and updates the configuration on the running IKE daemon \fIcharon\fR.
50 .
51 .TP
52 .B "reload"
53 sends a \fIUSR1\fR signal to
54 .BR "starter"
55 which in turn reloads the whole configuration of the running IKE daemon
56 \fIcharon\fR based on the actual \fIipsec.conf\fR.
57 .
58 .TP
59 .B "restart"
60 is equivalent to
61 .B "stop"
62 followed by
63 .B "start"
64 after a guard of 2 seconds.
65 .
66 .TP
67 .B "stop"
68 terminates all IPsec connections and stops the IKE daemon \fIcharon\fR
69 by sending a \fITERM\fR signal to
70 .BR "starter".
71 .
72 .TP
73 .BI "up " name
74 tells the IKE daemon to start up connection \fIname\fP.
75 .
76 .TP
77 .BI "down " name
78 tells the IKE daemon to terminate connection \fIname\fP.
79 .
80 .TP
81 .BI "down " name{n}
82 terminates IKEv1 Quick Mode and IKEv2 CHILD SA instance \fIn\fP of
83 connection \fIname\fP.
84 .
85 .TP
86 .BI "down " name{*}
87 terminates all IKEv1 Quick Mode and  IKEv2 CHILD SA instances of connection
88 \fIname\fP.
89 .
90 .TP
91 .BI "down " name[n]
92 terminates IKE SA instance \fIn\fP of connection \fIname\fP.
93 .
94 .TP
95 .BI "down " name[*]
96 terminates all IKE SA instances of connection \fIname\fP.
97 .
98 .TP
99 .BI "route " name
100 tells the IKE daemon to insert an IPsec policy in the kernel
101 for connection \fIname\fP. The first payload packet matching the IPsec policy
102 will automatically trigger an IKE connection setup.
103 .
104 .TP
105 .BI "unroute " name
106 remove the IPsec policy in the kernel for connection \fIname\fP.
107 .
108 .TP
109 .BI "status [" name ]
110 returns concise status information either on connection
111 \fIname\fP or if the argument is lacking, on all connections.
112 .
113 .TP
114 .BI "statusall [" name ]
115 returns detailed status information either on connection
116 \fIname\fP or if the argument is lacking, on all connections.
117 .
118 .SS LIST COMMANDS
119 .
120 .TP
121 .B "listalgs"
122 returns a list supported cryptographic algorithms usable for IKE, and their
123 corresponding plugin.
124 .
125 .TP
126 .BI "listpubkeys [" --utc ]
127 returns a list of RSA public keys that were either loaded in raw key format
128 or extracted from X.509 and|or OpenPGP certificates.
129 .
130 .TP
131 .BI "listcerts [" --utc ]
132 returns a list of X.509 and|or OpenPGP certificates that were either loaded
133 locally by the IKE daemon or received via the IKE protocol.
134 .
135 .TP
136 .BI "listcacerts [" --utc ]
137 returns a list of X.509 Certification Authority (CA) certificates that were
138 loaded locally by the IKE daemon from the \fI/etc/ipsec.d/cacerts/\fP
139 directory or received via the IKE protocol.
140 .
141 .TP
142 .BI "listaacerts [" --utc ]
143 returns a list of X.509 Authorization Authority (AA) certificates that were
144 loaded locally by the IKE daemon from the \fI/etc/ipsec.d/aacerts/\fP
145 directory.
146 .
147 .TP
148 .BI "listocspcerts [" --utc ]
149 returns a list of X.509 OCSP Signer certificates that were either loaded
150 locally by the IKE daemon from the \fI/etc/ipsec.d/ocspcerts/\fP
151 directory or were sent by an OCSP server.
152 .
153 .TP
154 .BI "listacerts [" --utc ]
155 returns a list of X.509 Attribute certificates that were loaded locally by
156 the IKE daemon from the \fI/etc/ipsec.d/acerts/\fP directory.
157 .
158 .TP
159 .BI "listgroups [" --utc ]
160 returns a list of groups that are used to define user authorization profiles.
161 .
162 .TP
163 .BI "listcainfos [" --utc ]
164 returns certification authority information (CRL distribution points, OCSP URIs,
165 LDAP servers) that were defined by
166 .BR ca
167 sections in \fIipsec.conf\fP.
168 .
169 .TP
170 .BI "listcrls [" --utc ]
171 returns a list of Certificate Revocation Lists (CRLs) that were either loaded
172 by the IKE daemon from the \fI/etc/ipsec.d/crls\fP directory or fetched from
173 an HTTP- or LDAP-based CRL distribution point.
174 .
175 .TP
176 .BI "listocsp [" --utc ]
177 returns revocation information fetched from OCSP servers.
178 .
179 .TP
180 .BI "listplugins"
181 returns a list of all loaded plugin features.
182 .
183 .TP
184 .BI "listcounters [" name ]
185 returns a list of global or connection specific IKE counter values
186 collected since daemon startup.
187 .
188 .TP
189 .BI "listall [" --utc ]
190 returns all information generated by the list commands above. Each list command
191 can be called with the
192 \fB\-\-utc\fP
193 option which displays all dates in UTC instead of local time.
194 .
195 .SS REREAD COMMANDS
196 .
197 .TP
198 .B "rereadsecrets"
199 flushes and rereads all secrets defined in \fIipsec.secrets\fP.
200 .
201 .TP
202 .B "rereadcacerts"
203 reads all certificate files contained in the \fI/etc/ipsec.d/cacerts\fP
204 directory and adds them to the list of Certification Authority (CA)
205 certificates.
206 .
207 .TP
208 .B "rereadaacerts"
209 reads all certificate files contained in the \fI/etc/ipsec.d/aacerts\fP
210 directory and adds them to the list of Authorization Authority (AA)
211 certificates.
212 .
213 .TP
214 .B "rereadocspcerts"
215 reads all certificate files contained in the \fI/etc/ipsec.d/ocspcerts/\fP
216 directory and adds them to the list of OCSP signer certificates.
217 .
218 .TP
219 .B "rereadacerts"
220 reads all certificate files contained in the  \fI/etc/ipsec.d/acerts/\fP
221 directory and adds them to the list of attribute certificates.
222 .
223 .TP
224 .B "rereadcrls"
225 reads  all Certificate  Revocation Lists (CRLs) contained in the
226 \fI/etc/ipsec.d/crls/\fP directory and adds them to the list of CRLs.
227 .
228 .TP
229 .B "rereadall"
230 executes all reread commands listed above.
231 .
232 .SS RESET COMMANDS
233 .
234 .TP
235 .BI "resetcounters [" name ]
236 resets global or connection specific counters.
237 .
238 .SS PURGE COMMANDS
239 .
240 .TP
241 .B "purgecerts"
242 purges all cached certificates.
243 .
244 .TP
245 .B "purgecrl"
246 purges all cached CRLs.
247 .
248 .TP
249 .B "purgeike"
250 purges IKE SAs that don't have a Quick Mode or CHILD SA.
251 .
252 .TP
253 .B "purgeocsp"
254 purges all cached OCSP information records.
255 .
256 .SS INFO COMMANDS
257 .
258 .TP
259 .B "\-\-help"
260 returns the usage information for the
261 .B @IPSEC_SCRIPT@
262 command.
263 .
264 .TP
265 .B "\-\-version"
266 returns the version in the form of
267 .B Linux strongSwan U<strongSwan userland version>/K<Linux kernel version>
268 if strongSwan uses the native NETKEY IPsec stack of the Linux kernel it is
269 running on.
270 .
271 .TP
272 .B "\-\-versioncode"
273 returns the version number in the form of
274 .B U<strongSwan userland version>/K<Linux kernel version>
275 if strongSwan uses the native NETKEY IPsec stack of the Linux kernel it is
276 running on.
277 .
278 .TP
279 .B "\-\-copyright"
280 returns the copyright information.
281 .
282 .TP
283 .B "\-\-directory"
284 returns the \fILIBEXECDIR\fP directory as defined by the configure options.
285 .
286 .TP
287 .B "\-\-confdir"
288 returns the \fISYSCONFDIR\fP directory as defined by the configure options.
289 .
290 .TP
291 .B "\-\-piddir"
292 returns the \fIPIDDIR\fP directory as defined by the configure options.
293 .
294 .SH FILES
295 .
296 @IPSEC_DIR@             utilities directory
297 .
298 .SH ENVIRONMENT
299 .
300 When calling other commands the
301 .B @IPSEC_SCRIPT@
302 command supplies the following environment variables.
303 .nf
304 .na
305
306 IPSEC_DIR               directory containing ipsec programs and utilities
307 IPSEC_BINDIR            directory containing \fBpki\fP command
308 IPSEC_SBINDIR           directory containing \fBipsec\fP command
309 IPSEC_CONFDIR           directory containing configuration files
310 IPSEC_PIDDIR            directory containing PID/socket files
311 IPSEC_SCRIPT            name of the ipsec script
312 IPSEC_NAME              name of ipsec distribution
313 IPSEC_VERSION           version numer of ipsec userland and kernel
314 IPSEC_STARTER_PID       PID file for ipsec starter
315 IPSEC_CHARON_PID        PID file for IKE keying daemon
316 .ad
317 .fi
318 .
319 .SH SEE ALSO
320 .
321 .BR ipsec.conf (5),
322 .BR ipsec.secrets (5)
323 .
324 .SH HISTORY
325 Originally written for the FreeS/WAN project by Henry Spencer.
326 Updated and extended for the strongSwan project <http://www.strongswan.org> by
327 Tobias Brunner and Andreas Steffen.