Helby

в такой конфигурации проблема с доступностью доменов сохраняется, появляется утечка DNS с выдачей IP МТС после IP VPS. А что если поднять dnscrypt-proxy на VPS и указать WG серверу на него в качестве DNS, чтобы резолвить всё через туннель? Стоит пробовать?

Одно не противоречит другому. В системе указаны несколько DOH серверов, часть работает глобально и имеет приоритет над обычными глобальными, а часть, что с указанием домена, только с ним. Это подтверждает вывод dnscheck.tools и dnsleak.com. Серверов CF и Mullvad в нем у меня нет. Согласны с такой логикой?)

Win 11?

Additional server for specific domain переводится как дополнительный сервер для конкретного домена. В случае с DOT/DOH и конкретным доменом, резолвиться этот домен будет через самый быстрый сервер, отданный указанным резолвером, а не глобально в системе.

В конфигурации как на скрине в первом посте всё работает и работает шустро. Мой вопрос был в том, почему без жёсткой привязки домена к резолверу не работает? Но кажется ответ уже вырисовывается из топиков про тормоза DNS на 5.0.4.

Факт. В этом случае мне проще ПК закинуть в политику DIRECT (только прямой доступ) и скачать, что мне нужно, а потом закинуть его обратно в политику по умолчанию. Понимаю, что моё решение не лучший вариант. Для моих задач и потребностей пока подходит и ладно)

однако факт есть факт) и да и нет, в geo хорошо умеет рентген, но он нативно не поддерживается белый список я составлял самостоятельно для приложений которым важно быть "тут" с помощью Proxyman (iOS). Учитывая, что маршрутизация поддерживает wildcard, там основных доменов не так уже и много, всё остальное это уже поддомены. Поэтому список у меня получился сильно меньше предыдущего варианта с подсетями и прочими нюансами. Как итог, трафик туннеля у меня примерно в 2-2,5 раза меньше чем прямой. Соотвественно стриминги, Алисы и прочие штуки - все идут напрямую как и задумано) Также в статике у меня прописаны подсети для UDP трафика BF6, чтобы не качать обновления и, разумеется, не играть через туннель.

не имеет значения, попробуйте dot или doh и через nslookup посмотрите с клиента результат. всё работает.

я на прошлой неделе пришёл к тому, что теперь проще делать "белые" списки, которые бегают напрямую, до этого работал на КВАСе со списками в туннель. Теперь же у меня туннель это основное соединение, а всё, что суверенное идёт прямо. мобильные устройства в семье по WG подключаются к роутеру (белый IP) при выходе из радиуса домашней Wi-Fi сети и на них так же как и дома всё работает как старые добрые времена.

приеду домой и попробую следующее: удалю DOH сервера из конфигурации, DNS строго из туннеля WG (основное подключение в политике по умолчанию), провайдеру оставлю 8-ки чтобы суверенный интернет не пропадал в случае отвала туннеля, проверю на работоспособность и утечки.

понял, спасибо большое за ответ. IPvFoo давно использую, очень удобный инструмент)

https://support.keenetic.com/titan/kn-1811/en/22961-additional-dns-servers.html

DNS Conditional Forwarding 1. Через веб-интерфейс (современный способ) В актуальных версиях KeeneticOS эта функция встроена в настройки DNS: Перейдите в меню «Сетевые правила» → «Интернет-фильтр». Откройте вкладку «Настройка DNS». Нажмите «Добавить сервер». Введите IP-адрес нужного DNS-сервера. В поле «Домен» (может называться «Для доменов») введите имя домена, который должен обслуживаться этим сервером (например, company.local или example.com). Нажмите «Сохранить». Теперь запросы к этому домену (и его поддоменам) будут уходить только на указанный сервер