src/ipsec/_ipsec.8.in

   1 .TH @IPSEC_SCRIPT_UPPER@ 8 "2012-06-19" "@IPSEC_VERSION@" "strongSwan"
   2 .SH NAME
   3 @IPSEC_SCRIPT@ \- invoke IPsec utilities
   4 .SH SYNOPSIS
   5 .B @IPSEC_SCRIPT@
   6 \fIcommand\fP [ \fIarguments\fP ] [ \fIoptions\fP ]
   7 .PP
   8 .SH DESCRIPTION
   9 The
  10 .B @IPSEC_SCRIPT@
  11 utility invokes any of several utilities involved in controlling and monitoring
  12 the IPsec encryption/authentication system, running the specified \fIcommand\fP
  13 with the specified \fIarguments\fP and \fIoptions\fP as if it had been invoked
  14 directly. This largely eliminates possible name collisions with other software,
  15 and also permits some centralized services.
  16 .PP
  17 All the commands described in this manual page are built-in and are used to
  18 control and monitor IPsec connections as well as the IKE daemons.
  19 .PP
  20 For other commands
  21 .I @IPSEC_SCRIPT@
  22 supplies the invoked
  23 .I command
  24 with a suitable PATH environment variable,
  25 and also provides IPSEC_DIR,
  26 IPSEC_CONFS, and IPSEC_VERSION environment variables,
  27 containing respectively
  28 the full pathname of the directory where the IPsec utilities are stored,
  29 the full pathname of the directory where the configuration files live,
  30 and the IPsec version number.
  31 .PP
  32 .SS CONTROL COMMANDS
  33 .TP
  34 .B "start [ starter options ]"
  35 calls
  36 .BR "starter"
  37 which in turn parses \fIipsec.conf\fR and starts the IKEv1/IKEv2 daemon
  38 \fIcharon\fR.
  39 .PP
  40 .TP
  41 .B "update"
  42 sends a \fIHUP\fR signal to
  43 .BR "starter"
  44 which in turn determines any changes in \fIipsec.conf\fR
  45 and updates the configuration on the running IKE daemon \fIcharon\fR.
  46 .PP
  47 .TP
  48 .B "reload"
  49 sends a \fIUSR1\fR signal to
  50 .BR "starter"
  51 which in turn reloads the whole configuration on the running IKE daemon
  52 \fIcharon\fR based on the actual \fIipsec.conf\fR.
  53 .PP
  54 .TP
  55 .B "restart"
  56 is equivalent to
  57 .B "stop"
  58 followed by
  59 .B "start"
  60 after a guard of 2 seconds.
  61 .PP
  62 .TP
  63 .B "stop"
  64 terminates all IPsec connections and stops the IKE daemon \fIcharon\fR
  65 by sending a \fITERM\fR signal to
  66 .BR "starter".
  67 .PP
  68 .TP
  69 .B "up \fIname\fP"
  70 tells the IKE daemon to start up connection \fIname\fP.
  71 .PP
  72 .TP
  73 .B "down \fIname\fP"
  74 tells the IKE daemon to terminate connection \fIname\fP.
  75 .PP
  76 .TP
  77 .B "down \fIname{n}\fP"
  78 terminates IKEv1 Quick Mode and IKEv2 CHILD SA instance \fIn\fP of
  79 connection \fIname\fP.
  80 .PP
  81 .TP
  82 .B "down \fIname{*}\fP"
  83 terminates all IKEv1 Quick Mode and  IKEv2 CHILD SA instances of connection
  84 \fIname\fP.
  85 .PP
  86 .TP
  87 .B "down \fIname[n]\fP"
  88 terminates IKE SA instance \fIn\fP of connection \fIname\fP.
  89 .PP
  90 .TP
  91 .B "down \fIname[*]\fP"
  92 terminates all IKE SA instances of connection \fIname\fP.
  93 .PP
  94 .TP
  95 .B "route \fIname\fP"
  96 tells the IKE daemon to insert an IPsec policy in the kernel
  97 for connection \fIname\fP. The first payload packet matching the IPsec policy
  98 will automatically trigger an IKE connection setup.
  99 .PP
 100 .TP
 101 .B "unroute \fIname\fP"
 102 remove the IPsec policy in the kernel for connection \fIname\fP.
 103 .PP
 104 .TP
 105 .B "status [ \fIname\fP ]"
 106 returns concise status information either on connection
 107 \fIname\fP or if the argument is lacking, on all connections.
 108 .PP
 109 .TP
 110 .B "statusall [ \fIname\fP ]"
 111 returns detailed status information either on connection
 112 \fIname\fP or if the argument is lacking, on all connections.
 113 .PP
 114 .SS LIST COMMANDS
 115 .TP
 116 .B "listalgs"
 117 returns a list supported cryptographic algorithms usable for IKE, and their
 118 corresponding plugin.
 119 .PP
 120 .TP
 121 .B "listpubkeys [ --utc ]"
 122 returns a list of RSA public keys that were either loaded in raw key format
 123 or extracted from X.509 and|or OpenPGP certificates.
 124 .PP
 125 .TP
 126 .B "listcerts [ --utc ]"
 127 returns a list of X.509 and|or OpenPGP certificates that were either loaded
 128 locally by the IKE daemon or received via the IKE protocol.
 129 .PP
 130 .TP
 131 .B "listcacerts [ --utc ]"
 132 returns a list of X.509 Certification Authority (CA) certificates that were
 133 loaded locally by the IKE daemon from the \fI/etc/ipsec.d/cacerts/\fP
 134 directory or received via the IKE protocol.
 135 .PP
 136 .TP
 137 .B "listaacerts [ --utc ]"
 138 returns a list of X.509 Authorization Authority (AA) certificates that were
 139 loaded locally by the IKE daemon from the \fI/etc/ipsec.d/aacerts/\fP
 140 directory.
 141 .PP
 142 .TP
 143 .B "listocspcerts [ --utc ]"
 144 returns a list of X.509 OCSP Signer certificates that were either loaded
 145 locally by the IKE daemon from the \fI/etc/ipsec.d/ocspcerts/\fP
 146 directory or were sent by an OCSP server.
 147 .PP
 148 .TP
 149 .B "listacerts [ --utc ]"
 150 returns a list of X.509 Attribute certificates that were loaded locally by
 151 the IKE daemon from the \fI/etc/ipsec.d/acerts/\fP directory.
 152 .PP
 153 .TP
 154 .B "listgroups [ --utc ]"
 155 returns a list of groups that are used to define user authorization profiles.
 156 .PP
 157 .TP
 158 .B "listcainfos [ --utc ]"
 159 returns certification authority information (CRL distribution points, OCSP URIs,
 160 LDAP servers) that were defined by
 161 .BR ca
 162 sections in \fIipsec.conf\fP.
 163 .PP
 164 .TP
 165 .B "listcrls [ --utc ]"
 166 returns a list of Certificate Revocation Lists (CRLs) that were either loaded
 167 by the IKE daemon from the \fI/etc/ipsec.d/crls\fP directory or fetched from
 168 an HTTP- or LDAP-based CRL distribution point.
 169 .PP
 170 .TP
 171 .B "listocsp [ --utc ]"
 172 returns revocation information fetched from OCSP servers.
 173 .PP
 174 .TP
 175 .B "listall [ --utc ]"
 176 returns all information generated by the list commands above. Each list command
 177 can be called with the
 178 \fB\-\-utc\fP
 179 option which displays all dates in UTC instead of local time.
 180 .PP
 181 .SS REREAD COMMANDS
 182 .TP
 183 .B "rereadsecrets"
 184 flushes and rereads all secrets defined in \fIipsec.secrets\fP.
 185 .PP
 186 .TP
 187 .B "rereadcacerts"
 188 reads all certificate files contained in the \fI/etc/ipsec.d/cacerts\fP
 189 directory and adds them to the list of Certification Authority (CA)
 190 certificates.
 191 .PP
 192 .TP
 193 .B "rereadaacerts"
 194 reads all certificate files contained in the \fI/etc/ipsec.d/aacerts\fP
 195 directory and adds them to the list of Authorization Authority (AA)
 196 certificates.
 197 .PP
 198 .TP
 199 .B "rereadocspcerts"
 200 reads all certificate files contained in the \fI/etc/ipsec.d/ocspcerts/\fP
 201 directory and adds them to the list of OCSP signer certificates.
 202 .PP
 203 .TP
 204 .B "rereadacerts"
 205 reads all certificate files contained in the  \fI/etc/ipsec.d/acerts/\fP
 206 directory and adds them to the list of attribute certificates.
 207 .PP
 208 .TP
 209 .B "rereadcrls"
 210 reads  all Certificate  Revocation Lists (CRLs) contained in the
 211 \fI/etc/ipsec.d/crls/\fP directory and adds them to the list of CRLs.
 212 .PP
 213 .TP
 214 .B "rereadall"
 215 executes all reread commands listed above.
 216 .PP
 217 .SS PURGE COMMANDS
 218 .TP
 219 .B "purgeike"
 220 purges IKE SAs that don't have a Quick Mode or CHILD SA.
 221 .PP
 222 .TP
 223 .B "purgeocsp"
 224 purges all cached OCSP information records.
 225 .PP
 226 .SS INFO COMMANDS
 227 .TP
 228 .B "\-\-help"
 229 returns the usage information for the
 230 .B @IPSEC_SCRIPT@
 231 command.
 232 .PP
 233 .TP
 234 .B "\-\-version"
 235 returns the version in the form of
 236 .B Linux strongSwan U<strongSwan userland version>/K<Linux kernel version>
 237 if strongSwan uses the native NETKEY IPsec stack of the Linux kernel it is
 238 running on.
 239 .PP
 240 .TP
 241 .B "\-\-versioncode"
 242 returns the version number in the form of
 243 .B U<strongSwan userland version>/K<Linux kernel version>
 244 if strongSwan uses the native NETKEY IPsec stack of the Linux kernel it is
 245 running on.
 246 .PP
 247 .TP
 248 .B "\-\-copyright"
 249 returns the copyright information.
 250 .PP
 251 .TP
 252 .B "\-\-directory"
 253 returns the \fILIBEXECDIR\fP directory as defined by the configure options.
 254 .PP
 255 .TP
 256 .B "\-\-confdir"
 257 returns the \fISYSCONFDIR\fP directory as defined by the configure options.
 258 .SH FILES
 259 /usr/local/lib/ipsec    usual utilities directory
 260 .SH ENVIRONMENT
 261 .PP
 262 The following environment variables control where strongSwan finds its
 263 components.
 264 The
 265 .B @IPSEC_SCRIPT@
 266 command sets them if they are not already set.
 267 .nf
 268 .na
 269
 270 IPSEC_DIR               directory containing ipsec programs and utilities
 271 IPSEC_SBINDIR           directory containing \fBipsec\fP command
 272 IPSEC_CONFDIR           directory containing configuration files
 273 IPSEC_PIDDIR            directory containing PID files
 274 IPSEC_SCRIPT            name of the ipsec script
 275 IPSEC_NAME              name of ipsec distribution
 276 IPSEC_VERSION           version numer of ipsec userland and kernel
 277 IPSEC_STARTER_PID       PID file for ipsec starter
 278 IPSEC_CHARON_PID        PID file for IKE keying daemon
 279 .ad
 280 .fi
 281 .SH SEE ALSO
 282 .hy 0
 283 .na
 284 ipsec.conf(5), ipsec.secrets(5)
 285 .ad
 286 .hy
 287 .PP
 288 .SH HISTORY
 289 Originally written for the FreeS/WAN project by Henry Spencer.
 290 Updated and extended for the strongSwan project <http://www.strongswan.org> by
 291 Tobias Brunner and Andreas Steffen.