ipsec.conf: config setup
Обратите внимание: полужирным шрифтом выделены значения по-умолчанию
Новые параметры. После выхода версии 5.0.0
cachecrls = yes | no
- Если включено, то список отозванных сертификатов (CRL) подгруженный через HTTP или LDAP будет кэшироваться в каталоге "/etc/ipsec.d/crls/" под уникальным именем файла, полученным от открытого ключа центра сертификации (ЦС, Certificate Authority, CA).
charondebug = <debug list>
каким образом будет происходить логирование и сколько потоков вывода для отладки выдавать демоном charon? Указывается в форме разделённого запятыми списка, содержащего в себе пары тип_лога/уровень_лога, например: dmn 3, ike 1, net -1. Значения для типа логирования: dmn, mgr, ike, chd, job, cfg, knl, net, asn, enc, lib, esp, tls, tnc, imc, imv, pts, а значением для уровней логирования является одно из [ -1, 0, 1, 2, 3, 4] (для отключения лога, аудита, контроля, расширенного контроля, сырой (RAW) лог, показывать лог содержащий приватные данные). По-умолчанию установлен первый уровень для всех типов логирования. Для большей гибкости настройки логов обратитесь к ?LoggerConfiguration.
charonstart = yes | no
- запускать ли (демоном-диспетчером) автоматически IKE-демон charon или нет? Значение по-умолчанию: да
strictcrlpolicy = yes | ifuri | no
- Определяет, обновлять ли каждый раз CRL при попытке аутентификации пира на основе RSA-подписи? IKE-v2 дополнительно понимает значение "ifuri", которое выставляется в "yes" в том случае, если указан по крайней мере один ресурс URI для CRL и выставляется в "no" в том случае, если ни один URI не известен.
uniqueids = yes | no | never | replace | keep
- должен ли определённый конкретный ID пира быть уникальным? при использовании ID для каждой любой новой IKE_SA, будут заменены все старые значения ID на новые значения ID. ID у пиров обычно всегда являются уникальными, поэтому новый IKE_SA, используя тот же самый ID пира почти всегда предназначен для замены старого. Разница между "no" и "never" заключается в том, что если значение параметра установлено в "no", то демон будет заменять старые IKE_SA, при получении сообщения с уведомлением "INITIAL_CONTACT", и в том случае, если значение параметра установлено в "never", то демон будет просто полностью игнорировать эти уведомления. Демон также принимает значение параметра "replace", который идентичен значению параметра "yes", а также значение параметра "keep" для отклонения установки новых IKE_SA, с удержанием обычных копий, установленных ранее.
Старые параметры. До выхода версии 5.0.0
Эти параметры настройки поддерживаются IKE-v1-демоном pluto в предыдущих релизах strongSWAN.
crlcheckinterval = 0s | <time>
- загружать CRL разрешается в том случае, если значение этого параметра больше нуля. Асинхронная, периодическая проверка на наличие свежего списка отозванных сертификатов CRL, в настоящее это делает только IKE-v1-демон pluto.
keep_alive = 20s | <time>
- интервал в секундах времени жизни пакетов между NAT.
nat_traversal = yes | no
- активирует обход NAT (NAT traversal, NAT-T), принимая ISAKMP-порты источника, отличающиеся от порта udp/500, и возможность плавного перехода на порт udp/4500 в том случае, если обнаружена фактическая ситуация с использованием NAT. Используется только при помощи IKE-v1, так как NAT-Traversal всегда активен при использовании IKE-v2.
nocrsend = yes | no
- в полезной нагрузке не будет отправляться запрос сертификата.
pkcs11initargs = <args>
- нестандартные аргументы в строке для PKCS#11-функции C_Initialize(); требуется NSS softoken.
pkcs11module = <lib>
- указывает путь во время выполнения для того, чтобы динамически загружать библиотеки PKCS#11. Значение этого параметра перезаписывает любые пути, указанные во время компиляции при помощи ключа-параметра -pkcs11-module
pkcs11keepstate = yes | no
- Сессии от PKCS#11-логинов будут храниться в течение всего срока запуска ключевого демона (charon). Очень полезно при использовании картридеров смарт-карточек pin-Pad, где PIN не может быть закэширован.
pkcs11proxy = yes | no
Pluto будет работать как PKCS#11-прокси, доступный через всё тот же самый интерфейс.
plutodebug = none | <debug list> | all
каким образом будет происходить логирование и сколько потоков вывода для отладки выдавать демоном pluto? Значение "none" означает полное отсутствие отладочной информации, в то же время, как значение "all" означает полный вывод. Во всех остальных же случаях, в значении параметра указываются только следующие типы логирования, разделённые пробелом; Доступные типы отладки: control controlmore crypt dns emitting klips lifecycle natt oppo parsing private raw. Рекомендуемое значение - plutodebug=control
plutostart = yes | no
- Запускать ли IKE-v1-демон pluto или нет? Значение по-умолчанию: да в том случае, если демон-диспетчер был скомпилирован с поддержкой IKE-v1.
plutostderrlog = <file>
- Pluto не будет использовать системный журнал (syslog), а выводить весь лог в стандартный поток ошибок (stderr), а затем перенаправлять стандартный поток ошибок (stderr) в файл.
postpluto = <command>
- Команда оболочки shell, которая автоматически будет запускаться ПОСЛЕ запуска демона pluto (т.н., для удаления расшифрованных копий файла "ipsec.secrets"). Это происходит очень просто; различные сложности, т.н. перенаправление ввода/вывода лучше всего скрыть в логике скрипта отдельного внешнего файла. Любой вывод перенаправляется в лог, и поэтому запуск различных интерактивных команд затруднено в том случае, если они используют "/dev/tty" или какой-либо другой эквивалент для взаимодействия с выполняемой внешней программой.
prepluto = <command>
- Команда оболочки shell, которая автоматически будет запускаться ДО запуска демона pluto (т.н., для расшифровки зашифрованной копии файла "ipsec.secrets"). Это происходит очень просто; различные сложности, т.н. перенаправление ввода/вывода лучше всего скрыть в логике скрипта отдельного внешнего файла. Любой вывод перенаправляется в лог, и поэтому запуск различных интерактивных команд затруднено в том случае, если они используют "/dev/tty" или какой-либо другой эквивалент для взаимодействия с выполняемой внешней программой.
virtual_private = <networks>
- определяет приватные (частные) сети при помощи шаблонов с обозначением метасимволов.