introduced libstrongswan.x509.enforce_critical parameter
[strongswan.git] / man / strongswan.conf.5.in
index c625084..47aa6d5 100644 (file)
@@ -60,6 +60,61 @@ An example file in this format might look like this:
 .PP
 Indentation is optional, you may use tabs or spaces.
 
+.SH INCLUDING FILES
+Using the
+.B include
+statement it is possible to include other files into strongswan.conf, e.g.
+.PP
+.EX
+       include /some/path/*.conf
+.EE
+.PP
+If the file name is not an absolute path, it is considered to be relative
+to the directory of the file containing the include statement. The file name
+may include shell wildcards (see
+.IR sh (1)).
+Also, such inclusions can be nested.
+.PP
+Sections loaded from included files
+.I extend
+previously loaded sections; already existing values are
+.IR replaced .
+It is important to note that settings are added relative to the section the
+include statement is in.
+.PP
+As an example, the following three files result in the same final
+config as the one given above:
+.PP
+.EX
+       a = b
+       section-one {
+               somevalue = before include
+               include include.conf
+       }
+       include other.conf
+
+include.conf:
+       # settings loaded from this file are added to section-one
+       # the following replaces the previous value
+       somevalue = asdf
+       subsection {
+               othervalue = yyy
+       }
+       yetanother = zz
+
+other.conf:
+       # this extends section-one and subsection
+       section-one {
+               subsection {
+                       # this replaces the previous value
+                       othervalue = xxx
+               }
+       }
+       section-two {
+               x = 12
+       }
+.EE
+
 .SH READING VALUES
 Values are accessed using a dot-separated section list and a key.
 With reference to the example above, accessing
@@ -93,9 +148,15 @@ Enable Denial of Service protection using cookies and aggressiveness checks
 .BR charon.filelog
 Section to define file loggers, see LOGGER CONFIGURATION
 .TP
+.BR charon.flush_auth_cfg " [no]"
+
+.TP
 .BR charon.hash_and_url " [no]"
 Enable hash and URL support
 .TP
+.BR charon.ignore_routing_tables
+A list of routing tables to be excluded from route lookup
+.TP
 .BR charon.ikesa_table_segments " [1]"
 Number of exclusively locked segments in the hash table
 .TP
@@ -108,11 +169,17 @@ Whether to close IKE_SA if the only CHILD_SA closed due to inactivity
 .BR charon.install_routes " [yes]"
 Install routes into a separate routing table for established IPsec tunnels
 .TP
+.BR charon.install_virtual_ip " [yes]"
+Install virtual IP addresses
+.TP
 .BR charon.keep_alive " [20s]"
 NAT keep alive interval
 .TP
 .BR charon.load
-Plugins to load in IKEv2 charon daemon
+Plugins to load in the IKEv2 daemon charon
+.TP
+.BR charon.max_packet " [10000]"
+Maximum packet size accepted by charon
 .TP
 .BR charon.multiple_authentication " [yes]"
 Enable multiple authentication exchanges (RFC 4739)
@@ -125,6 +192,18 @@ WINS servers assigned to peer via configuration payload (CP)
 .BR charon.process_route " [yes]"
 Process RTM_NEWROUTE and RTM_DELROUTE events
 .TP
+.BR charon.receive_delay " [0]"
+Delay for receiving packets, to simulate larger RTT
+.TP
+.BR charon.receive_delay_response " [yes]"
+Delay response messages
+.TP
+.BR charon.receive_delay_request " [yes]"
+Delay request messages
+.TP
+.BR charon.receive_delay_type " [0]"
+Specific IKEv2 message type to delay, 0 for any
+.TP
 .BR charon.retransmit_base " [1.8]"
 Base to use for calculating exponential back off, see IKEv2 RETRANSMISSION
 .TP
@@ -143,6 +222,18 @@ Numerical routing table to install routes to
 .BR charon.routing_table_prio
 Priority of the routing table
 .TP
+.BR charon.send_delay " [0]"
+Delay for sending packets, to simulate larger RTT
+.TP
+.BR charon.send_delay_response " [yes]"
+Delay response messages
+.TP
+.BR charon.send_delay_request " [yes]"
+Delay request messages
+.TP
+.BR charon.send_delay_type " [0]"
+Specific IKEv2 message type to delay, 0 for any
+.TP
 .BR charon.send_vendor_id " [no]
 Send strongSwan vendor ID payload
 .TP
@@ -153,6 +244,13 @@ Section to define syslog loggers, see LOGGER CONFIGURATION
 Number of worker threads in charon
 .SS charon.plugins subsection
 .TP
+.BR charon.plugins.android.loglevel " [1]"
+Loglevel for logging to Android specific logger
+.TP
+.BR charon.plugins.attr
+Section to specify arbitrary attributes that are assigned to a peer via
+configuration payload (CP)
+.TP
 .BR charon.plugins.dhcp.identity_lease " [no]"
 Derive user-defined MAC address from hash of IKEv2 identity
 .TP
@@ -160,42 +258,93 @@ Derive user-defined MAC address from hash of IKEv2 identity
 DHCP server unicast or broadcast IP address
 .TP
 .BR charon.plugins.eap-aka.request_identity " [yes]"
+
 .TP
 .BR charon.plugins.eap-aka-3ggp2.seq_check
+
 .TP
 .BR charon.plugins.eap-gtc.pam_service " [login]"
 PAM service to be used for authentication
 .TP
-.BR charon.plugins.eap-radius.secret
-Shared secret between RADIUS and NAS
+.BR charon.plugins.eap-radius.class_group " [no]"
+Use the
+.I class
+attribute sent in the RADIUS-Accept message as group membership information that
+is compared to the groups specified in the
+.B rightgroups
+option in
+.B ipsec.conf (5).
 .TP
-.BR charon.plugins.eap-radius.server
-IP/Hostname of RADIUS server
+.BR charon.plugins.eap-radius.eap_start " [no]"
+Send EAP-Start instead of EAP-Identity to start RADIUS conversation
 .TP
-.BR charon.plugins.eap-radius.port " [1812]"
-Port of RADIUS server (authentication)
+.BR charon.plugins.eap-radius.filter_id " [no]"
+If the RADIUS
+.I tunnel_type
+attribute with value
+.B ESP
+is received, use the
+.I filter_id 
+attribute sent in the RADIUS-Accept message as group membership information that
+is compared to the groups specified in the
+.B rightgroups
+option in
+.B ipsec.conf (5).
 .TP
-.BR charon.plugins.eap-radius.sockets " [5]"
-Number of sockets (ports) to use, increase for high load
+.BR charon.plugins.eap-radius.id_prefix
+Prefix to EAP-Identity, some AAA servers use a IMSI prefix to select the
+EAP method
 .TP
 .BR charon.plugins.eap-radius.nas_identifier " [strongSwan]"
 NAS-Identifier to include in RADIUS messages
 .TP
-.BR charon.plugins.eap-radius.eap_start " [no]"
-Send EAP-Start instead of EAP-Identity to start RADIUS conversation
+.BR charon.plugins.eap-radius.port " [1812]"
+Port of RADIUS server (authentication)
 .TP
-.BR charon.plugins.eap-radius.id_prefix
-Prefix to EAP-Identity, some AAA servers use a IMSI prefix to select the EAP method
+.BR charon.plugins.eap-radius.secret
+Shared secret between RADIUS and NAS
+.TP
+.BR charon.plugins.eap-radius.server
+IP/Hostname of RADIUS server
+.TP
+.BR charon.plugins.eap-radius.servers
+Section to specify multiple RADIUS servers. The
+.BR nas_identifier ,
+.BR secret ,
+.B sockets
+and
+.B port
+options can be specified for each server. A server's IP/Hostname can be
+configured using the
+.B address
+option. For each RADIUS server a priority can be specified using the
+.BR preference " [0]"
+option.
+.TP
+.BR charon.plugins.eap-radius.sockets " [1]"
+Number of sockets (ports) to use, increase for high load
 .TP
 .BR charon.plugins.eap-sim.request_identity " [yes]"
 
 .TP
+.BR charon.plugins.eap-simaka-sql.database
+
+.TP
+.BR charon.plugins.eap-simaka-sql.remove_used
+
+.TP
 .BR charon.plugins.eap-tls.fragment_size " [1024]"
 Maximum size of an EAP-TLS packet
 .TP
 .BR charon.plugins.eap-tls.max_message_count " [32]"
 Maximum number of processed EAP-TLS packets
 .TP
+.BR charon.plugins.eap-tnc.fragment_size " [50000]"
+Maximum size of an EAP-TNC packet
+.TP
+.BR charon.plugins.eap-tnc.max_message_count " [10]"
+Maximum number of processed EAP-TNC packets
+.TP
 .BR charon.plugins.eap-ttls.fragment_size " [1024]"
 Maximum size of an EAP-TTLS packet
 .TP
@@ -208,21 +357,33 @@ Phase2 EAP client authentication method
 .BR charon.plugins.eap-ttls.phase2_piggyback " [no]"
 Phase2 EAP Identity request piggybacked by server onto TLS Finished message
 .TP
+.BR charon.plugins.eap-ttls.phase2_tnc " [no]"
+Start phase2 EAP TNC protocol after successful client authentication
+.TP
 .BR charon.plugins.eap-ttls.request_peer_auth " [no]"
 Request peer authentication based on a client certificate
 .TP
 .BR charon.plugins.ha.fifo_interface " [yes]"
 
 .TP
+.BR charon.plugins.ha.heartbeat_delay " [1000]"
+
+.TP
+.BR charon.plugins.ha.heartbeat_timeout " [2100]"
+
+.TP
 .BR charon.plugins.ha.local
 
 .TP
 .BR charon.plugins.ha.monitor " [yes]"
 
 .TP
-.BR charon.plugins.ha.remote
+.BR charon.plugins.ha.pools
 
 .TP
+.BR charon.plugins.ha.remote
+.TP
 .BR charon.plugins.ha.resync " [yes]"
 
 .TP
@@ -232,6 +393,15 @@ Request peer authentication based on a client certificate
 .BR charon.plugins.ha.segment_count " [1]"
 
 .TP
+.BR charon.plugins.led.activity_led
+
+.TP
+.BR charon.plugins.led.blink_time " [50]"
+
+.TP
+.BR charon.plugins.kernel-klips.ipsec_dev_count " [4]"
+Number of ipsecN devices
+.TP
 .BR charon.plugins.kernel-klips.ipsec_dev_mtu " [0]"
 Set MTU of ipsecN device
 .TP
@@ -246,10 +416,25 @@ Database URI for charons SQL plugin
 .TP
 .BR charon.plugins.sql.loglevel " [-1]"
 Loglevel for logging to SQL database
+.TP
+.BR charon.plugins.tnc-imc.preferred_language " [en]"
+Preferred language for TNC recommendations
+.TP
+.BR charon.plugins.tnc-imc.tnc_config " [/etc/tnc_config]"
+TNC IMC configuration directory
+.TP
+.BR charon.plugins.tnc-imv.tnc_config " [/etc/tnc_config]"
+TNC IMV configuration directory
 .SS libstrongswan section
 .TP
-.BR libstrongswan.dh_exponent_ansi_x9_42 " [yes]"
-Use ANSI X9.42 DH exponent size or optimum size matched to cryptographical strength
+.BR libstrongswan.crypto_test.bench " [no]"
+
+.TP
+.BR libstrongswan.crypto_test.bench_size " [1024]"
+
+.TP
+.BR libstrongswan.crypto_test.bench_time " [50]"
+
 .TP
 .BR libstrongswan.crypto_test.on_add " [no]"
 Test crypto algorithms during registration
@@ -263,11 +448,21 @@ Strictly require at least one test vector to enable an algorithm
 .BR libstrongswan.crypto_test.rng_true " [no]"
 Whether to test RNG with TRUE quality; requires a lot of entropy
 .TP
+.BR libstrongswan.dh_exponent_ansi_x9_42 " [yes]"
+Use ANSI X9.42 DH exponent size or optimum size matched to cryptographical
+strength
+.TP
 .BR libstrongswan.ecp_x_coordinate_only " [yes]"
 Compliance with the errata for RFC 4753
 .TP
 .BR libstrongswan.integrity_test " [no]"
 Check daemon, libstrongswan and plugin integrity at startup
+.TP
+.BR libstrongswan.leak_detective.detailed " [yes]"
+Includes source file names and line numbers in leak detective output
+.TP
+.BR libstrongswan.x509.enforce_critical " [yes]"
+Discard certificates with unsupported or unknown critical extensions
 .SS libstrongswan.plugins subsection
 .TP
 .BR libstrongswan.plugins.attr-sql.database
@@ -282,8 +477,9 @@ Use faster random numbers in gcrypt; for testing only, produces weak keys!
 .BR libstrongswan.plugins.openssl.engine_id " [pkcs11]"
 ENGINE ID to use in the OpenSSL plugin
 .TP
-.BR libstrongswan.plugins.x509.enforce_critical " [no]"
-Discard certificates with unsupported or unknown critical extensions
+.BR libstrongswan.plugins.pkcs11.modules
+.TP
+.BR libstrongswan.plugins.pkcs11.use_hasher " [no]"
 .SS libtls section
 .TP
 .BR libtls.cipher
@@ -294,6 +490,9 @@ List of TLS key exchange methods
 .TP
 .BR libtls.mac
 List of TLS MAC algorithms
+.TP
+.BR libtls.suites
+List of TLS cipher suites
 .SS manager section
 .TP
 .BR manager.database
@@ -364,7 +563,7 @@ Plugins to load in ipsec pki tool
 .BR pluto.dns1
 .TQ
 .BR pluto.dns2
-DNS servers assigned to peer via configuration payload (CP)
+DNS servers assigned to peer via Mode Config
 .TP
 .BR pluto.load
 Plugins to load in IKEv1 pluto daemon
@@ -372,7 +571,21 @@ Plugins to load in IKEv1 pluto daemon
 .BR pluto.nbns1
 .TQ
 .BR pluto.nbns2
-WINS servers assigned to peer via configuration payload (CP)
+WINS servers assigned to peer via Mode Config
+.TP
+.BR pluto.threads " [4]"
+Number of worker threads in pluto
+.SS pluto.plugins section
+.TP
+.BR pluto.plugins.attr
+Section to specify arbitrary attributes that are assigned to a peer via
+Mode Config
+.TP
+.BR charon.plugins.kernel-klips.ipsec_dev_count " [4]"
+Number of ipsecN devices
+.TP
+.BR charon.plugins.kernel-klips.ipsec_dev_mtu " [0]"
+Set MTU of ipsecN device
 .SS pool section
 .TP
 .BR pool.load
@@ -428,10 +641,10 @@ loglevel is defined.
 .BR charon.filelog.<filename>.<subsystem> " [<default>]"
 .TQ
 .BR charon.syslog.<facility>.<subsystem>
-Defines the loglevel for the given subsystem.
+Specifies the loglevel for the given subsystem.
 .TP
 .BR charon.filelog.<filename>.append " [yes]"
-If this option is enabled log entries are appended to the existing file
+If this option is enabled log entries are appended to the existing file.
 .TP
 .BR charon.filelog.<filename>.flush_line " [no]"
 Enabling this option disables block buffering and enables line buffering.
@@ -548,6 +761,9 @@ Delay between initiatons for each thread
 .BR charon.plugins.load-tester.delete_after_established " [no]"
 Delete an IKE_SA as soon as it has been established
 .TP
+.BR charon.plugins.load-tester.dynamic_port " [0]"
+Base port to be used for requests (each client uses a different port)
+.TP
 .BR charon.plugins.load-tester.enable " [no]"
 Enable the load testing plugin
 .TP
@@ -569,7 +785,7 @@ Number of IKE_SAs to initate by each initiator in load test
 .BR charon.plugins.load-tester.pool
 Provide INTERNAL_IPV4_ADDRs from a named pool
 .TP
-.BR charon.plugins.load-tester.proposal " [aes128-sha1-modp1024]"
+.BR charon.plugins.load-tester.proposal " [aes128-sha1-modp768]"
 IKE proposal to use in load test
 .TP
 .BR charon.plugins.load-tester.remote " [127.0.0.1]"
@@ -582,7 +798,7 @@ Authentication method(s) the responder uses
 Request an INTERNAL_IPV4_ADDR from the server
 .TP
 .BR charon.plugins.load-tester.shutdown_when_complete " [no]"
-Shutdown the daemon after all IKE_SA have been established
+Shutdown the daemon after all IKE_SAs have been established
 .SS Configuration details
 For public key authentication, the responder uses the
 .B \(dqCN=srv, OU=load-test, O=strongSwan\(dq
@@ -738,7 +954,7 @@ giving up   76s     165s
 /etc/strongswan.conf
 
 .SH SEE ALSO
-ipsec.conf (5), ipsec.secrets (5)
+ipsec.conf(5), ipsec.secrets(5), ipsec(8)
 .SH HISTORY
 Written for the
 .UR http://www.strongswan.org