swanctl: Convert swanctl.conf to an options file and generate config
[strongswan.git] / src / swanctl / swanctl.opt
1 connections.conn1 { # }
2         An IKE configuration named conn1
3
4 connections.conn1.version = 2
5         IKE version to use
6
7 connections.conn1.local_addrs = 0.0.0.0
8         List of acceptable local addresses/subnets
9
10 connections.conn1.remote_addrs = 192.168.5.1
11         Peer address, additional addresses/subnets as responder
12
13 connections.conn1.local_port = 500
14         Local UPD port for IKE
15
16 connections.conn1.remote_port = 500
17         Remote UDP port for IKE
18
19 connections.conn1.proposals = aes128gcm16-prfsha256-modp2048, default
20         Proposals for IKE, "default" is the default proposal
21
22 connections.conn1.vips =
23         Virtual IPs to request, such as 0.0.0.0 or ::
24
25 connections.conn1.aggressive = no
26         IKEv1 aggressive mode
27
28 connections.conn1.pull = yes
29         Use of pull/push in IKEv1 mode config
30
31 connections.conn1.encap = no
32         Enforce UDP encapsulation by faking NAT-D payloads
33
34 connections.conn1.mobike = yes
35         Enable IKEv2 MOBIKE
36
37 connections.conn1.dpd_delay = 10s
38         Interval of liveness checks
39
40 connections.conn1.dpd_timeout = 30s
41         Timeout for DPD checks (IKEV1 only)
42
43 connections.conn1.fragmentation = force
44         Use IKEv1 UDP packet fragmentation
45
46 connections.conn1.send_certreq = yes
47         Send certificate requests
48
49 connections.conn1.send_cert = ifasked
50         Send certificate payloads
51
52 connections.conn1.keyingtries = 0
53         Number of retransmission sequences to do before givin up
54
55 connections.conn1.unique = no
56         Uniquness policy, never|no|keep|replace|
57
58 connections.conn1.reauth_time = 3h
59         Time to schedule IKE reauthentication
60
61 connections.conn1.rekey_time = 2h
62         Time to schedule IKE rekeying
63
64 connections.conn1.over_time = 10m
65         Hard IKE_SA lifetime if rekey/reauth does not complete
66
67 connections.conn1.rand_time = 10m
68         Range of random time to subtract from rekey/rauth times
69
70 connections.conn1.pools = pool1
71         Hand out addresses and attributes from pool1 as responder
72
73 connections.conn1.vips = 0.0.0.0
74         Request a virtual IP as initiator
75
76 connections.conn1.local {}
77         Local authentication, first round
78
79 connections.conn1.local.certs = a.pem, xy.der
80         Additional certificates to load
81
82 connections.conn1.local.auth = pubkey
83         Authentication to perform locally
84
85 connections.conn1.local.id = win@strongswan.org
86         IKE identity for local
87
88 connections.conn1.local.eap_id = moon
89         Client EAP-Identity to use
90
91 connections.conn1.local.aaa_identity = srv
92         Server side EAP identity to use, EAP-TTLS etc.
93
94 connections.conn1.local.xauth_id = moon
95         IKEv1 XAuth username
96
97 connections.conn1.remote {}
98         Remote authentication, first round
99
100 connections.conn1.remote.id = %any
101         IKE identity for peer
102
103 connections.conn1.remote.certs = client.pem
104         List of acceptable peer certificates
105
106 connections.conn1.remote.cacert = ca.der
107         List of acceptable CA certificates
108
109 connections.conn1.remote.revocation = ifuri
110         Revocation policy, strict|ifuri
111
112 connections.conn1.remote.auth = pubkey
113         Authentication to expect from remote
114
115 connections.conn1.children.child1 {}
116         First CHILD_SA configuration
117
118 connections.conn1.children.child1.ah_proposals = default
119         AH proposals to offer
120
121 connections.conn1.children.child1.esp_proposals = aes128gcm16-modp2048, default
122         ESP proposals to offer
123
124 connections.conn1.children.child1.local_ts = 192.168.3.0/24
125         Local subnets to tunnel
126
127 connections.conn1.children.child1.remote_ts = 192.168.1.0/24
128         Remote subnets to tunnel
129
130 connections.conn1.children.child1.updown = path-to-script
131         Updown script to invoke
132
133 connections.conn1.children.child1.hostaccess = yes
134         Hostaccess variable to pass to updown
135
136 connections.conn1.children.child1.mode = tunnel
137         IPsec mode, tunnel|transport|pass|drop
138
139 connections.conn1.children.child1.dpd_action = restart
140         Action to perform on DPD timeout
141
142 connections.conn1.children.child1.ipcomp = no
143         Enable IPComp
144
145 connections.conn1.children.child1.inactivity = 2m
146         Inactivity timeout before closing CHILD_SA
147
148 connections.conn1.children.child1.reqid = 5
149         Fixed reqid to use for this CHILD_SA
150
151 connections.conn1.children.child1.mark_in = 1
152         Netfilter mark for input traffic
153
154 connections.conn1.children.child1.mark_out = 5/0xffffffff
155         Netfilter mark for output traffic
156
157 connections.conn1.children.child1.tfc_padding = 1500
158         Traffic Flow Confidentiality padding
159
160 secrets.eap1 { # }
161         EAP secret section
162
163 secrets.eap1.secret = testpassword
164         Password for EAP secret
165
166 secrets.eap1.id = tester
167         User EAP secret belongs to
168
169 secrets.ike-moon { # }
170         IKE secret for moon
171
172 secrets.ike-moon.secret = 0x12345678
173         IKE shared secret for moon
174
175 secrets.ike-moon.id-local = sun.strongswan.org
176         First identity secret belongs to
177
178 secrets.ike-moon.id-remote = moon.strongswan.org
179         Second identity secret belongs to
180
181 pools.poolx { # }
182         Section defining an address pool
183
184 pools.poolx.addrs = 10.1.2.0/24
185         Define addresses for this pool
186
187 pools.poolx.dns = 10.1.1.1, 10.1.2.1
188         Define DNS server addresses associated to pool