Install virtual IPs via interface name, and use an interface lookup where required
[strongswan.git] / man / strongswan.conf.5.in
index 5b34e58..905c552 100644 (file)
@@ -159,7 +159,10 @@ Enable Denial of Service protection using cookies and aggressiveness checks
 Section to define file loggers, see LOGGER CONFIGURATION
 .TP
 .BR charon.flush_auth_cfg " [no]"
-
+If enabled objects used during authentication (certificates, identities etc.)
+are released to free memory once an IKE_SA is established.
+Enabling this might conflict with plugins that later need access to e.g. the
+used certificates.
 .TP
 .BR charon.half_open_timeout " [30]"
 Timeout in seconds for connecting IKE_SAs (also see IKE_SA_INIT DROPPING).
@@ -198,12 +201,17 @@ Install routes into a separate routing table for established IPsec tunnels
 .BR charon.install_virtual_ip " [yes]"
 Install virtual IP addresses
 .TP
+.BR charon.install_virtual_ip_on
+The name of the interface on which virtual IP addresses should be installed.
+If not specified the addresses will be installed on the outbound interface.
+.TP
 .BR charon.interfaces_ignore
 A comma-separated list of network interfaces that should be ignored, if
-charon.interfaces_use is specified this option has no effect.
+.B charon.interfaces_use
+is specified this option has no effect.
 .TP
 .BR charon.interfaces_use
-A comma-separated list of network interfaces that sould be used by charon.
+A comma-separated list of network interfaces that should be used by charon.
 All other interfaces are ignored.
 .TP
 .BR charon.keep_alive " [20s]"
@@ -236,7 +244,7 @@ otherwise a random port will be allocated.
 Process RTM_NEWROUTE and RTM_DELROUTE events
 .TP
 .BR charon.receive_delay " [0]"
-Delay for receiving packets, to simulate larger RTT
+Delay in ms for receiving packets, to simulate larger RTT
 .TP
 .BR charon.receive_delay_response " [yes]"
 Delay response messages
@@ -273,7 +281,7 @@ Numerical routing table to install routes to
 Priority of the routing table
 .TP
 .BR charon.send_delay " [0]"
-Delay for sending packets, to simulate larger RTT
+Delay in ms for sending packets, to simulate larger RTT
 .TP
 .BR charon.send_delay_response " [yes]"
 Delay response messages
@@ -387,7 +395,6 @@ Start phase2 EAP TNC protocol after successful client authentication
 .TP
 .BR charon.plugins.eap-peap.request_peer_auth " [no]"
 Request peer authentication based on a client certificate
-
 .TP
 .BR charon.plugins.eap-radius.accounting " [no]"
 Send RADIUS accounting information to RADIUS servers.
@@ -435,7 +442,9 @@ name or attribute number, a colon can be used to specify vendor-specific
 attributes, e.g. Reply-Message, or 11, or 36906:12).
 .TP
 .BR charon.plugins.eap-radius.forward.radius_to_ike
-Same as charon.plugins.eap-radius.forward.ike_to_radius but from RADIUS to
+Same as
+.B charon.plugins.eap-radius.forward.ike_to_radius
+but from RADIUS to
 IKEv2, a strongSwan specific private notify (40969) is used to transmit the
 attributes.
 .TP
@@ -462,10 +471,15 @@ Section to specify multiple RADIUS servers. The
 .B sockets
 and
 .B port
+(or
+.BR auth_port )
 options can be specified for each server. A server's IP/Hostname can be
 configured using the
 .B address
-option. For each RADIUS server a priority can be specified using the
+option. The
+.BR acct_port " [1813]"
+option can be used to specify the port used for RADIUS accounting.
+For each RADIUS server a priority can be specified using the
 .BR preference " [0]"
 option.
 .TP
@@ -682,6 +696,12 @@ strength
 .BR libstrongswan.ecp_x_coordinate_only " [yes]"
 Compliance with the errata for RFC 4753
 .TP
+.BR libstrongswan.host_resolver.max_threads " [3]"
+Maximum number of concurrent resolver threads (they are terminated if unused)
+.TP
+.BR libstrongswan.host_resolver.min_threads " [0]"
+Minimum number of resolver threads to keep around
+.TP
 .BR libstrongswan.integrity_test " [no]"
 Check daemon, libstrongswan and plugin integrity at startup
 .TP
@@ -714,6 +734,9 @@ ENGINE ID to use in the OpenSSL plugin
 .BR libstrongswan.plugins.pkcs11.modules
 List of available PKCS#11 modules
 .TP
+.BR libstrongswan.plugins.pkcs11.reload_certs " [no]"
+Reload certificates from all tokens if charon receives a SIGHUP
+.TP
 .BR libstrongswan.plugins.pkcs11.use_dh " [no]"
 Whether the PKCS#11 modules should be used for DH and ECDH (see use_ecc option)
 .TP
@@ -750,10 +773,13 @@ Debug level for a stand-alone libimcv library
 .TP
 .BR libimcv.stderr_quiet " [no]"
 Disable output to stderr with a stand-alone libimcv library
-.SS libimcv plugins section
 .TP
-.BR libimcv.plugins.imc-attestation.platform_info
-Information on operating system and hardware platform
+.BR libimcv.os_info.name
+Manually set the name of the client OS (e.g. Ubuntu)
+.TP
+.BR libimcv.os_info.version
+Manually set the version of the client OS (e.g. 12.04 i686)
+.SS libimcv plugins section
 .TP
 .BR libimcv.plugins.imc-attestation.aik_blob
 AIK encrypted private key blob file
@@ -785,12 +811,24 @@ Preferred measurement hash algorithm
 .BR libimcv.plugins.imv-attestation.min_nonce_len " [0]"
 DH minimum nonce length
 .TP
-.BR libimcv.plugins.imv-attestation.platform_info
-Information on operating system and hardware platform
+.BR libimcv.plugins.imv-attestation.remediation_uri
+URI pointing to attestation remediation instructions
+.TP
+.BR libimcv.plugins.imc-os.push_info " [yes]"
+Send operating system info without being prompted
+.TP
+.BR libimcv.plugins.imv-os.remediation_uri
+URI pointing to operating system remediation instructions
+.TP
+.BR libimcv.plugins.imc-scanner.push_info " [yes]"
+Send open listening ports without being prompted
 .TP
 .BR libimcv.plugins.imv-scanner.closed_port_policy " [yes]"
 By default all ports must be closed (yes) or can be open (no)
 .TP
+.BR libimcv.plugins.imv-scanner.remediation_uri
+URI pointing to scanner remediation instructions
+.TP
 .BR libimcv.plugins.imv-scanner.tcp_ports
 List of TCP ports that can be open or must be closed
 .TP
@@ -812,6 +850,9 @@ Do a handshake retry
 .BR libimcv.plugins.imc-test.retry_command
 Command to be sent to the Test IMV in the handshake retry
 .TP
+.BR libimcv.plugins.imv-test.remediation_uri
+URI pointing to test remediation instructions
+.TP
 .BR libimcv.plugins.imv-test.rounds " [0]"
 Number of IMC-IMV retry rounds
 .SS libtls section