OpenVPN中的几个和连接相关的Timer解析

在OpenVPN中存在几个计时器，这些计时器限制着OpenVPN的一些特定行为的最长持续时间，如果设置不好，就会带来莫名其妙的断线问题，然而如何设置这些计数器也没有一个通用的方案，特定情况下不能太大也不能太小。

1.ping

该计时器定义了发送PING包的间隔(为了和ICMP ping区分，使用大写，以下使用小写)，ping包的发送是一种保活机制，另外也是为了刷新状态防火墙的连接跟踪状态。

2.ping-restart

该计时器定义了在多久内没有收到对方发来的ping包就reset连接，曾经正常接收但是突然没收到对端的ping要么因为对端已死掉不发ping了，要么是因为ping包在路上丢失了，要么就是这个ping-resatrt时间小于一个RTT的一半。

3.hand-window

该计时器限制了一次密钥协商持续的最长时间，如果该时间段内密钥协商没有成功，就会reset掉该SSL连接，然而并不是马上行刑，之前上一次协商好的密钥还能用一段时间，用多久呢？用tran-window参数指示的这段时间，如果在这段时间内，重新发起了密钥协商并且成功，SSL连接就不会被reset。

4.tran-window

该计时器限制了一次密钥协商成功的密钥在新的密钥协商开始后还能使用多久，在这段时间内如果密钥协商不成功，那么老的密钥依然可用。这样的话，密钥重协商就可以和隧道数据的传输同时进行，因为即使在密钥协商的时候，也还是有一个老的密钥可以用的，这样就实现了密钥的平滑过渡。

5.tls-timeout

该计时器定义了一个控制通道的包在没有收到ACK时，重新发送的间隔，如果定义过大，一旦发生丢包-包括原始包丢失以及ACK丢失，将可能带来握手超时以及密钥协商在hand-window内超时，如果定义过小-明显小于一个RTT，将会造成频繁重发引发蝴蝶效应-网络拥塞。

6.ping-timer-rem

这并不是一个计时器，它只是规定了ping-restart的行为而已，也就是说，设置了这个参数后，只有对端实际上已经接入的情况下，才会在ping-restart计时器到期后执行restart操作，这个配置参数避免了双方僵持状态下分别restart对端的情况：

client restart      --------------------------  server 正常，没发现
client 重连         --------------------------  server 等待client ping
client 重连成功  --------------------------  server ping-restart到期，restart

如果设置了ping-timer-rem，那么server端只有在client端的socket没有关闭的情况下才会restart该client。

7.总结

数据通道

其中1，2计时器通过数据通道的保活来保证随到可用，另外持续的ping也能持续激活刷新途经的状态防火墙的连接状态使之不过期

控制通道

其中3，4计时器通过限定密钥协商的时间以及密钥平滑过渡的时间来保证SSL控制通道连接的有效性。在OpenVPN的实现中，ssl.c中分别定义了TM_SIZE种session，用于密钥的平滑更新与移交。

reliable层

其中的5计时器影响了reliable层的行为，如果定义了预编译宏EXPONENTIAL_BACKOFF，它甚至影响了reliable层的退避重传算法。