2.3.2/man/vde_cryptcab.1

   1 .TH VDE_CRYPTCAB 1 "December 6, 2006" "Virtual Distributed Ethernet"
   2 .SH NAME
   3 vde_cryptcab \- Virtual Distributed Ethernet encrypted cable manager
   4 .SH SYNOPSIS
   5 .B vde_cryptcab
   6 [
   7 .B \-p
   8 .I portnum
   9 ]
  10 [
  11 .B \-s
  12 .I socketpath
  13 ]
  14 [
  15 .B \-c
  16 .I  [remote_user@]host[:remote_portnum]
  17 ]
  18 [
  19 .B \-P
  20 .I  pre_shared.key
  21 ]|
  22 [
  23 .B \-x
  24 ]
  25 [
  26 .B \-v
  27 .I [v][v][v]
  28 ]
  29 [
  30 .B \-k
  31 ]
  32 [
  33 .B \-d
  34 ]
  35 .br
  36 .SH DESCRIPTION
  37 A
  38 \fBvde_cryptcab\fP
  39 is a distributed cable manager for VDE switches.
  40 It allows two VDE switches on two machines to communicate
  41 using a blowfish encrypted channel.
  42
  43 When used in client mode (i.e., with -c option), it generates a random
  44 blowfish key, and uses
  45 .B scp (1)
  46 to transfer the key to the remote server.
  47
  48 On the client side, the environment variable SCP_EXTRA_OPTIONS may be set in order
  49 to append options to the scp command line (this is useful for example when dropbear or
  50 another non-standard ssh client is used to transfer the blowfish key).
  51
  52 After a 4-way handshake phase to verify client credentials, server and
  53 client will exchange VDE datagrams encapsulating them into cryptograms
  54 that are sent via udp to each remote host.
  55
  56 On server side, one could run:
  57 .RS
  58 .br
  59 .B vde_cryptcab -s /tmp/vde2.ctl -p 2100
  60 .RE
  61 To start a multi-peer cryptcab server, accepting udp datagrams on port
  62 2100, that connects each authenticated remote client to a different
  63 port of the switch. In fact, a new instance of
  64 .B vde_plug (1)
  65 is started and connected to the switch through local unix socket.
  66
  67 The command
  68 .RS
  69 .br
  70 .B vde_cryptcab -s /tmp/vde2.ctl -c foo@remote.machine.org:2100
  71 .RE
  72 will connect a client to the remote server, running on udp port 2100.
  73 At this point, on server side a verify for user "foo" credentials is required,
  74 typically it could be: host-based authentication, password challenge
  75 or public key authentication. See
  76 .B ssh (1)
  77 for more details about it.
  78
  79 If the two vde_switches run as daemon and they are connected to tap interfaces
  80 a level 2 encrypted tunnel is established.
  81
  82 .SH OPTIONS
  83 .TP
  84 .B \-p "\fIportnum\fP"
  85 It is possible to decide which local udp port to use.
  86 When this option is not specified, cryptcab will use default udp port number,
  87 7667.
  88 .TP
  89 .B \-c "\fI[remote_user@]host[:remote_portnum]\fP"
  90 run vde_cryptcab in client mode, trying to connect to
  91 .B host .
  92 Both
  93 .B remote_user
  94 and
  95 .B remote_portnum
  96 parameters are not required.
  97 If not specified, the same user running vde_cryptcab is used for
  98 authentication on server, and default udp port 7667 is used.
  99 .TP
 100 .B \-s "\fIsocketpath\fP"
 101 specify the UNIX socket to be used by local programs for joining the VDE.
 102 The default value is "/tmp/vde.ctl".
 103 .TP
 104 .B \-P "\fIpre_shared.keypath\fP"
 105 if specified, vde_cryptcab will run in pre-shared key mode, instead of generating a
 106 random key to transmit with ssh.
 107 Given option is the path to the pre-shared symmetric key file to use for data encryption.
 108 The same key has to be used on both client and server.
 109 .TP
 110 .B \-x
 111 Disable symmetric key encryption.
 112 .TP
 113 .B \-k
 114 Send periodic "keepalive" packets to avoid server timeouts. Useful when you want to keep a low-traffic link available.
 115 .TP
 116 .B \-d
 117 Run as daemon.
 118 .TP
 119 .B \-v
 120 Verbose. (Use -vv -vvv or -vvvv for more verbosity)
 121 .SH KNOWN ISSUES
 122 Encapsulating IP packets into session+udp layer results in real datagrams larger
 123 than tap device mtu. Since vde_cryptcab gets confused by packet fragmentation, the
 124 tap device mtu must be set to a smaller value than real interface mtu. Use
 125 .BR ip (8)
 126 or
 127 .BR ifconfig (8)
 128 to set up your tap device mtu.
 129
 130
 131 Explicitly disabling encryption leads to obvious security problems. It is advised to avoid unencrypted mode (-x) in non-controlled networks.
 132
 133 .SH NOTICE
 134 Virtual Distributed Ethernet is not related in any way with
 135 www.vde.com ("Verband der Elektrotechnik, Elektronik und Informationstechnik"
 136 i.e. the German "Association for Electrical, Electronic & Information
 137 Technologies").
 138
 139 .SH SEE ALSO
 140 \fBvde_switch\fP(1),
 141 \fBvdeq\fP(1),
 142 \fBvde_plug\fP(1),
 143 \fBvde_plug2tap\fP(1),
 144 \fBscp\fP(1),
 145 \fBssh\fP(1).
 146 .br
 147 .SH AUTHORS
 148 VDE is a project by Renzo Davoli <renzo@cs.unibo.it>.
 149
 150 vde_cryptcab is a VDE component by Daniele Lacamera <root@danielinux.net>