Почему происходит сбой разрешения DNS при изменении шлюза по умолчанию на резервный канал?
У нас возникла странная проблема, и я надеюсь, что кто-то может помочь с ней. У нас есть здание с оптоволоконным каналом и резервным каналом Comcast (по коаксиальному кабелю ).
Система настроена следующим образом:
Fiber NID (кабель категории 6 для коммутатора)Comcast (кабель категории 6 для коммутатора)| неуправляемый коммутатор | Unbuntu Linux Box в качестве маршрутизатора (кабель категории 6 от порта WAN к коммутатору )| порт LAN для оптоволокна OLT | 4 оптоволоконных порта GPON, подключенных ко многим ONT
Мы написали bash-скрипт, который будет каждую минуту проверять, работает ли основной шлюз (оптоволоконный канал), и если нет, он изменит шлюз по умолчанию на Comcast роутер 10.1.10.1. Как только основной шлюз снова включится, он автоматически переключится на него.
Мы установили то же самое во многих зданиях, и оно работает отлично, но у нас есть несколько зданий, в которых, как только шлюз по умолчанию переключается на резервный канал Comcast, DNS в большинстве случаев вообще не разрешается, а иногда решить примерно через 4 секунды, когда время ожидания большинства браузеров уже истекло.
Странно то, что если мы отсоединяем кабель от OLT, который идет к порту LAN на маршрутизаторе Linux Box, DNS прекрасно разрешается из командной строки на Linux Box и с ноутбука, подключенного к порту LAN маршрутизатора Linux Box..
Если мы подключим ноутбук к порту rj45 на OLT, он странным образом получит адрес IPV6 (Comcast, даже если мы сначала отключим наш маршрутизатор Comcast). Отсюда, если мы отключим оптоволоконные порты GPON, что удалит резидентов из уравнения,Backup Comcast разрешается правильно, и все работает отлично, и мы не получаем адрес ipv6 (, мы используем только ipv4 на стороне локальной сети ). Подключите оптоволоконные порты GPON для резидентов, и мгновенно DNS больше не будет разрешаться.
OLT настроен на изоляцию портов, поэтому резиденты не могут «видеть» друг друга. Мы попытались настроить ACL для блокировки всего трафика IPv6, а также всего частного ipv4 не в подсети 172.16.0.0/16, но это не сработало.
/etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 1.1.1.1
Файл /etc/resolv.conf одинаков как для резервного, так и для основного канала.
/etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
#The LAN (right port) network interface
allow-hotplug enp2s0
iface enp2s0 inet static
address 172.16.1.1
netmask 255.255.0.0
######## END LAN SETUP ####################################################
############ MAIN WAN SETUP ################################################
#WAN
allow-hotplug enp3s0
iface enp3s0 inet static
address xxx.xxx.xxx.xxx
netmask 255.255.255.252
gateway xxx.xxx.xxx.xxx
dns-nameservers 8.8.8.8 8.8.4.4 1.1.1.1
########### END MAIN WAN SETUP
#WAN backup circuit
allow-hotplug enp3s0
iface enp3s0 inet dhcp
dns-nameservers 8.8.8.8 8.8.4.4 1.1.1.1
####### END BACKUP WAN SETUP FAILOVER ###################################
Мы сделали tcpdump, мы увидели несколько модемов/маршрутизаторов Comcast на стороне локальной сети (мы посмотрели MAC-адреса). Похоже, что у некоторых жителей есть Интернет Comcast, и они подключили наш ONT к своему маршрутизатору Comcast, и он просачивается в систему. Если я установлю статический IP-адрес 10.0.0.xx и подключусь к порту ONT rj45, я смогу пропинговать и перейти к чьему-то модему/маршрутизатору Comcast. После того, как мы настроим ACL, он теперь заблокирован, но у нас все еще есть та же проблема.
Подводя итог, кажется, что что-то (возможно резидентные модемы/маршрутизаторы Comcast)исходят от одного или нескольких резидентных ONT, что мешает разрешению DNS, но только когда наша система переключила шлюз по умолчанию на наш резервный Comcast. маршрутизатор. Повторюсь, это происходит только в двух из многих зданий с одинаковой настройкой. В других зданиях мы, похоже, не видим никаких "модемов/маршрутизаторов Comcast" от жильцов, по ошибке подключившихся к нашей системе.
Есть идеи?