5.0 Alpha 9: некорректная работа dns-proxy route object-group

dimon27254 · 28 июля

1. После запуска Кинетика у меня почему-то автоматически не включается динамическая DNS маршрутизация. Приходится вручную вводить команду dns-proxy route object-group ..., чтобы перезаписать имеющуюся настройку. После этого маршрутизация "оживает".

2. Доступ к доменам, маршрутизируемым средствами dns-proxy route object-group, работает не всегда корректно - периодчески наблюдаю то долгую загрузку сайтов, то недогрузку контента на них, то ошибки подключения. При этом, ping и traceroute проходят нормально, и в них я вижу шлюзом свой VPN-сервер.

Спойлер

Проверял на KN-1012.

Изменено 28 июля пользователем dimon27254

Le ecureuil · 28 июля

1. Посмотрю.

2. Есть вероятность, что не успевает наполнится ipset, и тут мало что можно будет сделать, кроме как "предпрогрев" (который, кстати, все дружно высказали как бестолковый, только зря молотящий).

dimon27254 · 28 июля

13 минут назад, Le ecureuil сказал:

Есть вероятность, что не успевает наполнится ipset, и тут мало что можно будет сделать, кроме как "предпрогрев" (который, кстати, все дружно высказали как бестолковый, только зря молотящий).

Дело в том, что при использовании этого же object-group в opkg, где я собственным скриптом маршрутизирую трафик, все загружается сразу и без задержек.

Denis P · 28 июля

12 часов назад, Le ecureuil сказал:

1. Посмотрю.

2. Есть вероятность, что не успевает наполнится ipset, и тут мало что можно будет сделать, кроме как "предпрогрев" (который, кстати, все дружно высказали как бестолковый, только зря молотящий).

по поводу п1, вот пример правил при котором всё работает отлично, возможно оно не совсем вписывается в логику правил netfilter заложенную вами, но тем не менее

-A PREROUTING -m set --match-set _NDM_OGDN_4_@test dst -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0xffffaac/0xffffffff
-A PREROUTING -m set --match-set _NDM_OGDN_4_@test dst -m conntrack --ctstate RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff

а с тем что появилось в 5а9

-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@test dst --return-nomatch ! --update-counters -j MARK --set-xmark 0xffffaac/0xffffffff

и

104:    from all fwmark 0xffffaac lookup 14

нормально маршрутизируется только часть пакетов, mtr tracert и ко показывают красивую картинку, но остальное почти не работает.
т.е проблема явно с метками, а не самой маршрутизацией как таковой

насчет п2

"предпрогрев" бессмысленный и вот почему - для большого количества сценариев интересны поддомены, а эту проблему он не решает вообще никак.

Изменено 28 июля пользователем Denis P

Le ecureuil · 29 июля

Всем спасибо за репорты, в следующей версии должно быть все нормально.

Denis P · 2 августа

В 29.07.2025 в 17:06, Le ecureuil сказал:

Всем спасибо за репорты, в следующей версии должно быть все нормально.

спасибо, в A10 всё отлично

dimon27254 · 2 августа

В 29.07.2025 в 21:06, Le ecureuil сказал:

Всем спасибо за репорты, в следующей версии должно быть все нормально

Подтверждаю, все ошибки исправлены. Спасибо!

Хаос · 3 августа

А это, разве так и должно быть?

Le ecureuil · 3 августа

2 часа назад, Хаос сказал:

А это, разве так и должно быть?

Покажите полный self-test.

Denis P · 4 августа

@Le ecureuil радость длилась недолго, начали вылезать ошибки

предположу что из-за включенного интернет фильтра AdGuard (на других устройствах интернет фильтр активирован не был и ошибок тоже нет)

Dns::Route::ResolveQueue: system failed [0xcffd0046].

но и после его отключения продолжают сыпаться

self-test в следующем сообщении

Изменено 4 августа пользователем Denis P

pegakmop · 4 августа

3 минуты назад, Denis P сказал:

радость длилась недолго, начали вылезать ошибки, предположу что из-за включенного интернет фильтра AGH

Скорее всего, потому что у меня начисто стоит маршрутизация и никаких проблем на данный момент и сбоев не было(с 5.9 на 5.10 обновлялся через сброс до заводских настроек, после установки ничего не настраивал только закинул маршрутизацию объект груп по доменам и больше ничего, не знаю пригодится ли тебе данный фидбэк или кому либо из пользователей)

я так понимаю тут включал? И какой включал? Ща проверим на ошибки вдруг смогу повторить

Изменено 4 августа пользователем pegakmop
Уточняю хочу попробовать повторить ошибку

Denis P · 5 августа

снова повторилось и снова же с активированным Интернет фильтром, ошибки начинают появляться не сразу, в журнале это хорошо видно, но каких-то других событий, которые этому предшествуют нет, новый self-test в следующем сообщении, даже частично был включен dns-proxy debug

p/s на самом деле происходит и при использовании opkg object-group fqdn и на 4.3.5 в комплекте с интернет фильтрами

Le ecureuil · 5 августа

В 03.08.2025 в 12:41, Хаос сказал:

А это, разве так и должно быть?

Спасибо за репорт, будет исправлено в следующей версии.

Le ecureuil · 5 августа

18 часов назад, Denis P сказал:

@Le ecureuil радость длилась недолго, начали вылезать ошибки

предположу что из-за включенного интернет фильтра AdGuard (на других устройствах интернет фильтр активирован не был и ошибок тоже нет)

Dns::Route::ResolveQueue: system failed [0xcffd0046].

но и после его отключения продолжают сыпаться

self-test в следующем сообщении

Есть какая-то проблема с ipset похоже, добавлю побольше отладочной информации чтобы было понятнее.

pegakmop · 6 августа

19 часов назад, Le ecureuil сказал:

Спасибо за репорт, будет исправлено в следующей версии.

Посмотрите в соседней теме не знаю ошибка или не реализовано show потому и не стал сюда репортить

Изменено 6 августа пользователем pegakmop
Добавил ссылку

Denis P · 7 августа

В 05.08.2025 в 14:59, Le ecureuil сказал:

Есть какая-то проблема с ipset похоже, добавлю побольше отладочной информации чтобы было понятнее.

небольшой upd
именно в сочетании с "интернет фильтрами" воспроизводится, но не сразу, а только через какое-то время вплоть до 10-12 часов
лечится отключением и включением снова opkg object-group fqdn или соответственно dns-proxy route (в зависимости от того что используем)
убираем фильтры - ставим любые днсы, хоть plaintext хоть dot/doh - всё ок, работает нормально 24/7

Изменено 7 августа пользователем Denis P

keshun · Суббота в 19:48

Еще вопрос. Так и задумано, что нельзя удалить домен? 5.0 A11

image.png.731b5a8df479044a2f9adcaf8dfe04e4.png

Denis P · Суббота в 20:05

16 минут назад, keshun сказал:

Еще вопрос. Так и задумано, что нельзя удалить домен? 5.0 A11

исключить можно ip адрес, о чем вам ошибка и сообщает, а удалить домен это через no include

Изменено Суббота в 20:05 пользователем Denis P

Denis P · Воскресенье в 10:00

@Le ecureuil
на A11 даже отключение dns-proxy route не помогает и ошибки продолжают сыпаться и судя по дебагу он идут попытки разрешить адреса из списка, явно что-то где-то работает не так как задумано, self как обычно в следующем сообщении
и опять же всему виной "интернет фильтры" без них всё хорошо
"починить" теперь можно только если полностью снести OG

Изменено Воскресенье в 10:47 пользователем Denis P

keshun · Понедельник в 11:02

В 09.08.2025 в 23:05, Denis P сказал:

исключить можно ip адрес, о чем вам ошибка и сообщает, а удалить домен это через no include

А если надо исключить домен 3,4,5 и т.д. уровня, у которого n-количество адресов?

Войти

5.0 Alpha 9: некорректная работа dns-proxy route object-group

Вопрос

dimon27254

19 ответов на этот вопрос

Рекомендуемые сообщения

Le ecureuil

dimon27254

Denis P

Le ecureuil

Denis P

dimon27254

Хаос

Le ecureuil

Denis P

pegakmop

Denis P

Le ecureuil

Le ecureuil

pegakmop

Denis P

keshun

Denis P

Denis P

keshun

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация