Маршрутизация DNS иногда не работает

[qmxocynjca]

В роутере (fw 5.0.0) прописан DNS от провайдера (обычный) и от Яндекса (DoT), в списке DNS маршрутизации прописан youtube.com.

Проблема: www.youtube.com не смог зароутиться куда надо. После неудачного роутинга несколько раз делал "nslookup www.youtube.com 192.168.1.1", но результата не дало - роутер упорно вёл по провайдеру.

Пробовал включить dns-proxy debug, после чего роутер почти завис секунд через 30, смог выключить эту настройку только через telnet. Кажется после этого роутинг таки заработал, но легче от этого не стало.

Наблюдения:

* провайдерные DNS возвращают 173.194.221.198 от primary и 64.233.162.198 от secondary на nslookup www.youtube.com.

* nslookup на www.youtube.com возвращает "Tracing route to wide-youtube.l.google.com", а на youtube.com возвращает "Tracing route to youtube.com".

* nslookup www.youtube.com 77.88.8.8 (обычный dns от яндекса) возвращает разные адреса на каждый запрос.

Вот как это примерно выглядит:

C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [173.194.220.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms     1 ms  <isp_gw>
^C
C:\Users\user>nslookup www.youtube.com 192.168.1.1
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    wide-youtube.l.google.com
Addresses:  2a00:1450:4010:c1e::c6
          142.251.1.198
Aliases:  www.youtube.com
          youtube-ui.l.google.com


C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [142.251.1.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms    <1 ms  <isp_gw>
^C
  
C:\Users\user>tracert -d -w 50 youtube.com

Tracing route to youtube.com [173.194.221.91]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.88.88
  2    91 ms    89 ms     *     <kvn_gw>
  

 

 

Изменено 4 ноября пользователем qmxocynjca

[Ivanero]

On 11/18/2025 at 1:26 AM, Racer X said:

Да, так и есть. Я бы сказал что заметно чаще 3-4 часов. Скорее раз в час, если не чаще. Затык и трафик в провайдера. Продолжается 1-2 мин и потом все опять работает нормально.
И могу точно сказать что это не тоннель у меня периодически отваливается. Потому что если с этим же тоннелем возвращаюсь на классический IP роутинг по подсетям, то все работает железобетонно.

Я это все наблюдаю еще с первых бет 5 версии и пока изменений такого поведения не вижу вплоть до 5.0.1.

так же подтверждаю на: KN-3812, KN-3811 (5.0.1) - оба arm64. Причем именно с YT. с Twi/X такого не наблюдается. YT витрину роликов отрисовывает но видео не загружает, хотя конечно ж googlevideo.com в списке DNS-b-R.

на массе (10+ штук) мелких Keenetic mipsel/mipsbe (Start, Starter, Lite, 4G, Carrier, Duo, GigaIII, Viva, Hero 4G+, Speedster, Runner 4G) - все работает без этих аномалий

Изменено 19 ноября пользователем Ivanero

[Racer X]

6 часов назад, Ivanero сказал:

Причем именно с YT. с Twi/X такого не наблюдается.

Да не, далеко не только с YT.
FB, Tidal и т.д. Ощущение что это со всем, что активно использует CDN и балансировку по ним с регулярной сменой IP.

[BFT]

В 05.11.2025 в 11:38, Le ecureuil сказал:

 

Версия 5.0.1. Похоже проблема маршрутами ipv6.

Спойлер

 

~ # iptables-save | grep _NDM_OGDN
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list0 dst --return-nomatch ! --update-subcounters -j MARK --set-xmark 0xffffab1/0xffffffff
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list0 dst -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list0 dst --return-nomatch ! --update-counters ! --update-subcounters -j RETURN
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list1 dst --return-nomatch ! --update-subcounters -j MARK --set-xmark 0xffffab0/0xffffffff
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list1 dst -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list1 dst --return-nomatch ! --update-counters ! --update-subcounters -j RETURN
~ # ip6tables-save | grep _NDM_OGDN
~ #

 

Спойлер

 

~ # iptables-save | grep _NDM_OGDN
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list0 dst --return-nomatch ! --update-subcounters -j MARK --set-xmark 0xffffab1/0xffffffff
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list0 dst -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list0 dst --return-nomatch ! --update-counters ! --update-subcounters -j RETURN
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list1 dst --return-nomatch ! --update-subcounters -j MARK --set-xmark 0xffffab0/0xffffffff
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list1 dst -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@domain-list1 dst --return-nomatch ! --update-counters ! --update-subcounters -j RETURN
~ # ip6tables-save | grep _NDM_OGDN
-A _NDM_DNSRT_PRERT -m set --match-set _NDM_OGDN_6_@domain-list1 dst --return-nomatch ! --update-counters ! --update-subcounters -j MARK --set-xmark 0xffffab8/0xffffffff
-A _NDM_DNSRT_PRERT -m set --match-set _NDM_OGDN_6_@domain-list1 dst -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A _NDM_DNSRT_PRERT -m set --match-set _NDM_OGDN_6_@domain-list1 dst --return-nomatch ! --update-counters ! --update-subcounters -j RETURN
~ #

 

[FLK]

Ну вставлю свои 5 копеек - да, действительно иногда бывают так сказать "несработки", но говорить о том, что вообще не работает я не могу...

Если выразить в процентах, когда не работает, то выйдет 1-2%, ну по крайней мере у меня.

Уважаемый @Le ecureuil, может что-то можно еще сделать? Проблема не единичная, а функционал то нужный)

[Oleg Nekrylov]

В 18.11.2025 в 01:26, Racer X сказал:

Да, так и есть. Я бы сказал что заметно чаще 3-4 часов. Скорее раз в час, если не чаще. Затык и трафик в провайдера. Продолжается 1-2 мин и потом все опять работает нормально.
И могу точно сказать что это не тоннель у меня периодически отваливается. Потому что если с этим же тоннелем возвращаюсь на классический IP роутинг по подсетям, то все работает железобетонно.

Я это все наблюдаю еще с первых бет 5 версии и пока изменений такого поведения не вижу вплоть до 5.0.1.

На IPSet4Static (ADH) всё работает без проблем. Поэтому продолжил изыскания и первое что сделал, сбросил конфиг 5.0.1 к заводским, настроил с нуля (пока только маршрутизацию по доменам, всё остальное пока не трогал) - уже сутки работает без проблем. Пока прихожу к выводу, что может быть какой-то мусор "застрял" от предыдущих бет, который в глаза сразу и не бросается (в startup-config), но гадит знатно.

Заметил особенность работы галки эксклюзивный маршрут: если галка не стоит, локальные (Домашняя, Гостевая сеть) ПК в туннель не идут, а вот те которые пришли с наружи (из других VPN) лезут согласно маршрута. Если галку поставить, то в туннель лезут и локальные и внешние ПК.

Изменено 21 ноября пользователем Oleg Nekrylov

[Racer X]

59 минут назад, Oleg Nekrylov сказал:

Заметил особенность работы галки эксклюзивный маршрут: если галка не стоит, локальные (Домашняя, Гостевая сеть) ПК в туннель не идут, а вот те которые пришли с наружи (из других VPN) лезут согласно маршрута.

У меня нигде галка не стоит. И на двух роутерах все клиенты без проблем ходят.

Изменено 21 ноября пользователем Racer X

[Ivanero]

18 hours ago, Oleg Nekrylov said:

На IPSet4Static (ADH) всё работает без проблем. Поэтому продолжил изыскания и первое что сделал, сбросил конфиг 5.0.1 к заводским, настроил с нуля (пока только маршрутизацию по доменам, всё остальное пока не трогал) - уже сутки работает без проблем. Пока прихожу к выводу, что может быть какой-то мусор "застрял" от предыдущих бет, который в глаза сразу и не бросается (в startup-config), но гадит знатно.

Заметил особенность работы галки эксклюзивный маршрут: если галка не стоит, локальные (Домашняя, Гостевая сеть) ПК в туннель не идут, а вот те которые пришли с наружи (из других VPN) лезут согласно маршрута. Если галку поставить, то в туннель лезут и локальные и внешние ПК.

сменил на 10+ роутерах (mipsel/mipsbe/arm64) выставив Exclusive Route - на mipsel/mipsbe все помогло и стабильно работать начало, но на arm64 (KN-3811, KN-3812) продолжает "глючить"

[Racer X]

Попробовал у себя на обоих роутерах переключить все DNS маршруты в эксклюзивный маршрут. Поведение не изменилось от слова совсем. Как были периодические отвалы с трафиком мимо тоннеля во время них - так и остались.

[masyanich]

а нет ли планов вот эту киллер-фичу реализовать через веб-морду?

• Реализована возможность настройки маршрутов через разные шлюзы или интерфейсы для одной и той же группы объектов FQDN с помощью интерфейса командной строки (dns-proxy route object-group). Приоритет маршрутов определяется порядком их ввода. [NDM-4118]

 

[keenet07]

12 минут назад, masyanich сказал:

а нет ли планов вот эту киллер-фичу реализовать через веб-морду?

Так проверяйте. Возможность в веб привязывать один список к разным интерфейсам уже появилась. Главное не включайте эксклюзивный маршрут в этих правилах. В смежной теме обсуждалось, включая недоделки.

Изменено 25 ноября пользователем keenet07

[masyanich]

8 минут назад, keenet07 сказал:

Так проверяйте. Возможность в веб привязывать один список к разным интерфейсам уже появилась

о, реально, тогда не понятно с "метрикой", вот ее бы в gui, а то что за чем идет - решительно не ясно

Изменено 25 ноября пользователем masyanich

[FLK]

22 минуты назад, masyanich сказал:

о, реально, тогда не понятно с "метрикой", вот ее бы в gui, а то что за чем идет - решительно не ясно

да, я как раз об этом писал в другой теме, нужны в вебе некие приоритеты - куда сначала, куда потом, если "сначала" упало

[keenet07]

У вас такие сложные схемы, что используется более двух источников? ) Один пропал, пошло на другой и наоборот.

А вообще по порядку добавления должно следовать. Можно в конфиге посмотреть. Возможно, что  в некоторых обстоятельствах последовательность может различаться с вебом.

[FLK]

5 часов назад, keenet07 сказал:

У вас такие сложные схемы, что используется более двух источников? ) Один пропал, пошло на другой и наоборот.

А вообще по порядку добавления должно следовать. Можно в конфиге посмотреть. Возможно, что  в некоторых обстоятельствах последовательность может различаться с вебом.

У меня впсок как грязи, на разных площадках и страны тоже разные) вообще думаю больше 3 вариантов мало кто будет использовать на практике. Но и их пока толком в вебе нет

Изменено 25 ноября пользователем FLK

[Nefertum]

Было бы круто, если сделали привязку правила маршрутизации к политике вместо интерфейса, тогда бы всё очень просто стало, выбрал политику, где несколько разных интерфейсов, где даже можно было бы использовать многопутевой режим с резервацией, если один отвалился. Эххх, мечты...

[Racer X]

42 минуты назад, Nefertum сказал:

Было бы круто, если сделали привязку правила маршрутизации к политике вместо интерфейса

Вот не надо пожалуйста!
Точно не вместо. Привязка маршрутов к интерфейсу это святое. Политиками далеко не все пользуются. Зачем городить огород, если все достаточно просто по интерфейсам раскидать?

[alex123]

kn-1010. долго не получалось понять почему не работает, пока не попалась эта тема. show object-group fqdn показало что ip адреса добавились. а потом попалось упоминание что с политиками не работает. У меня как раз была создана отдельная политика Provider, в котором было только подключение провайдера (т.к. давно были  случаи, когда переключалось на  совсем неправильное "резервное" подключение). наверно, сейчас-то этой проблемы нет (может, это было только у меня). значит, придётся переключить на "Политика по умолчанию"

будем надеяться что к релизу это исправят, т.к. могут быть случаи когда не обойтись без политики

 

[FLK]

14 часов назад, Nefertum сказал:

Было бы круто, если сделали привязку правила маршрутизации к политике вместо интерфейса, тогда бы всё очень просто стало, выбрал политику, где несколько разных интерфейсов, где даже можно было бы использовать многопутевой режим с резервацией, если один отвалился. Эххх, мечты...

Было бы круто, если бы DNS-маршрутизация работала как сейчас, но еще и работала в политиках, отличных от политики по умолчанию. Это факт

Изменено 28 ноября пользователем FLK

[Xperts]

Подтверждаю. Так же столкнулся, что на 5.0.1 иногда не работает маршрутизация днс. Причем не только с доменами из маршрутов днс, но и обычные домены не всегда резолвятся. Воспроизводится на разных девайсах примерно раз в 3 - 4 часа. На одном домены могут не резолвиться, а на других девайсах при этом все работает. В логах в эти моменты ничего нет. Конкретно у меня поймалось на iPhone 16 Pro, MacBook Pro, iPad Pro. В качестве днс использую dot от cloudflare и google. Пришлось откатиться на 4.3.6.3 и вернуться на маршрутизацию по ip. На 4.3.6.3 все работает как и раньше

Роутер - Keenetic Hopper SE

Изменено 28 ноября пользователем Xperts

[Racer X]

3 часа назад, Xperts сказал:

В качестве днс использую dot от cloudflare и google.

Не надо. Они чаще не работают, чем работают. Их активно блочат по doh dot уже не первый день.
Именно поэтому у вас  может быть "но и обычные домены не всегда резолвятся".

Изменено 28 ноября пользователем Racer X

[Xperts]

3 часа назад, Racer X сказал:

Не надо. Они чаще не работают, чем работают. Их активно блочат по doh dot уже не первый день.
Именно поэтому у вас  может быть "но и обычные домены не всегда резолвятся".

В Москве они не блочатся. У МТС и Maryno Net точно. Я про dns.google и one.one.one.one. Ну и я бы понял, если бы оно всегда работало через раз, но я же даже писал выше - на 4.3.6.3 все работает прекрасно. Проблемы на 5.0.1 с новой маршрутизацией dns

Изменено 28 ноября пользователем Xperts

[Racer X]

1 час назад, Xperts сказал:

В Москве они не блочатся.

Я в Мск если что.
У меня проблемы с ними есть на двух разных проводных операторах в городе и области.

[Xperts]

13 минут назад, Racer X сказал:

Я в Мск если что.
У меня проблемы с ними есть на двух разных проводных операторах в городе и области.

Что могу сказать, надо менять провайдера тогда 😄
А если по делу - в регионах слышал, что блочат. Но там много чего сейчас блочится. В Мск не слышал, но не удивлюсь если какие-то особо упоротые бегут вперед РКН выполнять еще не согласованные требования. Привел в пример 2-х провайдеров и на обоих работает

[GeodE]

Хоть тема не об этом, но подтверждаю, что пока dns.google и one.one.one.one нормально работают в Мск/область на всех провайдерах, что у меня есть, как мобильных, так и домашних. Да и в Тверской области на местном прове работает и вообще пока проблем не замечал, с учётом того, что dot one.one.one.one ещё дополнительно на всех телефонах у семьи вручную прописан

[Ivanero]

чтобы убрать все темы "блочат/не блочат" проще IP route 1.1.1.1/1.0.0.1/8.8.8.8/8.8.4.4/9.9.9.9/75.75.75.75 направить в AWG-туннель (и по вкусу приправить Exclusive Route если хочется). и ув @Racer X Вы явно знаете "как должно быть" но скромничаете - сообществу интересны будут Ваши дельные советы как и что настроить чтобы РАБОТАЛО (ну помимо "а у меня все работает")

[Racer X]

20 часов назад, Xperts сказал:

но не удивлюсь если какие-то особо упоротые бегут вперед РКН выполнять еще не согласованные требования

Если не в курсе, то у всех провайдеров стоит "черный ящик" под названием ТСПУ, которым РКН рулит сам напрямую. Провайдер даже не в курсе что там происходит. Они ничего не выполняют.

Изменено Суббота в 15:21 пользователем Racer X

[Racer X]

7 часов назад, Ivanero сказал:

Вы явно знаете "как должно быть" но скромничаете - сообществу интересны будут Ваши дельные советы как и что настроить чтобы РАБОТАЛО

Про geoDNS не слышали? Вот потому лично мне нужно чтобы dns запрос шел по тому же маршруту, что и дальнейший трафик по этому запросу.
Чтобы нормально работало - просто есть другие DoH с которыми нет проблем. Но cloudflare очень нестабилен с начала борьбы РКН с ними, а DoH и DoT google заметно душат с лета. На профильных ресурсах по этому поводу есть масса информации.

Изменено Суббота в 15:23 пользователем Racer X

[Racer X]

20 часов назад, Xperts сказал:

Привел в пример 2-х провайдеров и на обоих работает

Вы смотрели на качество их работы? Да, они не совсем глухо не отвечают. Но регулярно очень большие лаги по ответам (100+ мс) и пропуски запросов - то есть ответ, то нету. Не знаю как кого - меня такая "работа" не устраивает.

Впрочем думаю нужно сворачивать тему. Мы сильно отошли от основной.

Изменено Суббота в 15:19 пользователем Racer X

[alex123]

раньше не пользовался обычной маршрутизацией (всё через entware) а сейчас (на бете) пробую и кажется что и она с профилями не работает. так ли это? вообще, в идеале было бы -- как выше предлагали -- возможность привязки к профилю (+ ко всему трафику)

[Racer X]

Если вы про политики, то на форуме уже не  раз писалось в том числе разработчиками, что DNS маршрутизация работает только в политике по умолчанию. В остальных не работает.