Маршрутизация DNS иногда не работает

[qmxocynjca]

В роутере (fw 5.0.0) прописан DNS от провайдера (обычный) и от Яндекса (DoT), в списке DNS маршрутизации прописан youtube.com.

Проблема: www.youtube.com не смог зароутиться куда надо. После неудачного роутинга несколько раз делал "nslookup www.youtube.com 192.168.1.1", но результата не дало - роутер упорно вёл по провайдеру.

Пробовал включить dns-proxy debug, после чего роутер почти завис секунд через 30, смог выключить эту настройку только через telnet. Кажется после этого роутинг таки заработал, но легче от этого не стало.

Наблюдения:

* провайдерные DNS возвращают 173.194.221.198 от primary и 64.233.162.198 от secondary на nslookup www.youtube.com.

* nslookup на www.youtube.com возвращает "Tracing route to wide-youtube.l.google.com", а на youtube.com возвращает "Tracing route to youtube.com".

* nslookup www.youtube.com 77.88.8.8 (обычный dns от яндекса) возвращает разные адреса на каждый запрос.

Вот как это примерно выглядит:

C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [173.194.220.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms     1 ms  <isp_gw>
^C
C:\Users\user>nslookup www.youtube.com 192.168.1.1
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    wide-youtube.l.google.com
Addresses:  2a00:1450:4010:c1e::c6
          142.251.1.198
Aliases:  www.youtube.com
          youtube-ui.l.google.com


C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [142.251.1.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms    <1 ms  <isp_gw>
^C
  
C:\Users\user>tracert -d -w 50 youtube.com

Tracing route to youtube.com [173.194.221.91]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.88.88
  2    91 ms    89 ms     *     <kvn_gw>
  

 

 

Изменено 4 ноября пользователем qmxocynjca

[t800]

42 минуты назад, Racer X сказал:

Если вы про политики, то на форуме уже не  раз писалось в том числе разработчиками, что DNS маршрутизация работает только в политике по умолчанию. В остальных не работает. 

А профиль DNS влияет? Должен использоваться только системный профиль или это не принципиально и можно указать один из предустановленных профилей «интернет-фильтров»? 

[qmxocynjca]

На 5.0.2 улучшений нет, к сожалению. Всё так же некоторые IP идут мимо.

[Racer X]

19 минут назад, qmxocynjca сказал:

На 5.0.2 улучшений нет, к сожалению. Всё так же некоторые IP идут мимо

К сожалению да. Тоже подтверждаю на KN-1011.

У меня такое ощущение, что разработчики просто не видят этой проблемы и потому не могут ее отловить. За 10-15 мин тестирования кмк крайне мало шансов с ней столкнуться, а если не делать что-то постоянно - можно и не заметить 1-2 минутных отвалов. Чтобы это четко проявилось, нужно хотя бы день пожить с роутером в реальных условиях.
Я вот это в основном замечаю по стриминговому аудио и видео, которые в норме должны уходить в тоннель. Когда затыкается - сразу обращаешь внимание.

Изменено вчера в 14:30 пользователем Racer X

[qmxocynjca]

@Le ecureuil похоже есть проблема с обработкой DNS TCP запросов. Хром в какой-то момент вместо UDP может использовать TCP на 53 порт. Я вижу что зарезолвленные IP не наполняют списки в этом случае.

Воспроизводится так:

1. Добавляем список с единственным доменом example.com

2. Делаем

nslookup
set vc
example.com
www.example.com

Видим что example.com наполнился IP адресами в show object-group fqdn, а www.example.com уже нет.

Делаем nslookup www.example.com (в UDP режиме), и видим что IP адреса появились у www.example.com.

Конец.