Маршрутизация DNS иногда не работает

[qmxocynjca]

В роутере (fw 5.0.0) прописан DNS от провайдера (обычный) и от Яндекса (DoT), в списке DNS маршрутизации прописан youtube.com.

Проблема: www.youtube.com не смог зароутиться куда надо. После неудачного роутинга несколько раз делал "nslookup www.youtube.com 192.168.1.1", но результата не дало - роутер упорно вёл по провайдеру.

Пробовал включить dns-proxy debug, после чего роутер почти завис секунд через 30, смог выключить эту настройку только через telnet. Кажется после этого роутинг таки заработал, но легче от этого не стало.

Наблюдения:

* провайдерные DNS возвращают 173.194.221.198 от primary и 64.233.162.198 от secondary на nslookup www.youtube.com.

* nslookup на www.youtube.com возвращает "Tracing route to wide-youtube.l.google.com", а на youtube.com возвращает "Tracing route to youtube.com".

* nslookup www.youtube.com 77.88.8.8 (обычный dns от яндекса) возвращает разные адреса на каждый запрос.

Вот как это примерно выглядит:

C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [173.194.220.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms     1 ms  <isp_gw>
^C
C:\Users\user>nslookup www.youtube.com 192.168.1.1
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    wide-youtube.l.google.com
Addresses:  2a00:1450:4010:c1e::c6
          142.251.1.198
Aliases:  www.youtube.com
          youtube-ui.l.google.com


C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [142.251.1.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms    <1 ms  <isp_gw>
^C
  
C:\Users\user>tracert -d -w 50 youtube.com

Tracing route to youtube.com [173.194.221.91]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.88.88
  2    91 ms    89 ms     *     <kvn_gw>
  

 

 

Изменено 4 ноября пользователем qmxocynjca

[t800]

42 минуты назад, Racer X сказал:

Если вы про политики, то на форуме уже не  раз писалось в том числе разработчиками, что DNS маршрутизация работает только в политике по умолчанию. В остальных не работает. 

А профиль DNS влияет? Должен использоваться только системный профиль или это не принципиально и можно указать один из предустановленных профилей «интернет-фильтров»? 

[qmxocynjca]

На 5.0.2 улучшений нет, к сожалению. Всё так же некоторые IP идут мимо.

[Racer X]

19 минут назад, qmxocynjca сказал:

На 5.0.2 улучшений нет, к сожалению. Всё так же некоторые IP идут мимо

К сожалению да. Тоже подтверждаю на KN-1011.

У меня такое ощущение, что разработчики просто не видят этой проблемы и потому не могут ее отловить. За 10-15 мин тестирования кмк крайне мало шансов с ней столкнуться, а если не делать что-то постоянно - можно и не заметить 1-2 минутных отвалов. Чтобы это четко проявилось, нужно хотя бы день пожить с роутером в реальных условиях.
Я вот это в основном замечаю по стриминговому аудио и видео, которые в норме должны уходить в тоннель. Когда затыкается - сразу обращаешь внимание.

Изменено 5 декабря пользователем Racer X

[qmxocynjca]

@Le ecureuil похоже есть проблема с обработкой DNS TCP запросов. Хром в какой-то момент вместо UDP может использовать TCP на 53 порт. Я вижу что зарезолвленные IP не наполняют списки в этом случае.

Воспроизводится так:

1. Добавляем список с единственным доменом example.com

2. Делаем

nslookup
set vc
example.com
www.example.com

Видим что example.com наполнился IP адресами в show object-group fqdn, а www.example.com уже нет.

Делаем nslookup www.example.com (в UDP режиме), и видим что IP адреса появились у www.example.com.

Конец.

[FLK]

В 05.12.2025 в 21:06, qmxocynjca сказал:

@Le ecureuil похоже есть проблема с обработкой DNS TCP запросов. Хром в какой-то момент вместо UDP может использовать TCP на 53 порт. Я вижу что зарезолвленные IP не наполняют списки в этом случае.

Воспроизводится так:

1. Добавляем список с единственным доменом example.com

2. Делаем

nslookup
set vc
example.com
www.example.com

Видим что example.com наполнился IP адресами в show object-group fqdn, а www.example.com уже нет.

Делаем nslookup www.example.com (в UDP режиме), и видим что IP адреса появились у www.example.com.

Конец.

Ему тут писать сейчас нет смысла. Пишите в ТП

Изменено 8 декабря пользователем FLK

[Pravda8]

Настроены были маршруты DNS на несколько ресурсов через сокс5 и openvpn, работало 3 дня. Потом в один момент резко перестали работать, сами тунели живые и рабочие. Kn1012

[t800]

1 час назад, Pravda8 сказал:

Настроены были маршруты DNS на несколько ресурсов через сокс5 и openvpn, работало 3 дня. Потом в один момент резко перестали работать, сами тунели живые и рабочие. Kn1012

Кейс в поддержку открыли? Селф-тест в момент, когда проблема наблюдалась, сняли и приложили?

[spatiumstas]

В 18.11.2025 в 00:53, spatiumstas сказал:

5.0.1 - работает 3-4 часа и хаотично начинает делать пропуски. Эксклюзивный маршрут игнорируется - трафик идёт в провайдера, через минут 5 нормализуется и снова в туннель. Снять логи проблематично, в момент запуска debug все начинает маршрутизироваться как и должно

5.0.3 без изменений. Так же через время пропускает трафик в провайдера игнорируя эксклюзивный маршрут 

[qmxocynjca]

На 5.0.3 всё ещё какая-то явная проблема. После перезагрузки роутера включаю запись на chrome://net-export, иду на youtube.com, вижу фигу.

В логе net-export вижу UDP DNS запрос к роутеру, по dependency явно виден ответ от роутера и следующим за ним коннект к 173.194.222.198:443. При этом 173.194.222.198 не появился в show object-group fqdn.

DNS на роутере настроен в режиме интернет-фильтра где в системном профиле заданы несколько DoT, включая 8.8.8.8. Устройство точно использует системный DNS профиль и дефолтную политику.

Ответ включал именно этот адрес:

HOST_RESOLVER_DNS_TASK_EXTRACTION_RESULTS
  --> results = [
		{
		  "domain_name": "wide-youtube.l.google.com",
		  "endpoints": [
			{
			  "address": "173.194.222.198",
			  "port": 0
			}
		  ],
		  "hosts": [],
		  "query_type": "A",
		  "source": "dns",
		  "strings": [],
		  "timed_expiration": "13410556011478764",
		  "type": "data"
		},

[qmxocynjca]

Такое ощущение что DNS ответы парсятся на сколько это возможно, и если что-то парсеру не нравится то в логику наполнения списков они не попадают. Вручную nslookup www.youtube.com тоже как-то не ахти наполняет списки сейчас. Даже не знаю что ещё сказать... Ждём, надеемся, верим.

[Racer X]

6 минут назад, qmxocynjca сказал:

Такое ощущение что DNS ответы парсятся на сколько это возможно, и если что-то парсеру не нравится то в логику наполнения списков они не попадают. Вручную nslookup www.youtube.com тоже как-то не ахти наполняет списки сейчас. Даже не знаю что ещё сказать... Ждём, надеемся, верим.

Сообщайте в поддержку в телеге. Так они точно узнают и они там вполне себе отвечают.
Говорят что тут разработчики редко появляются сейчас.

Изменено Четверг в 19:04 пользователем Racer X

[jagel]

огромная просьба - помогите пожалуйста простым языком, для "деревянных"
какая-то беда просто(
полгода прекрасно работала маршрутизация по DNS по спискам доменов. 
Интерфейс OpenVpn, когда первый раз настраивал не возникло ни одной проблемы.
Работало на какой-то бета версии 5.0.0

вчера обновился до 5.0.2
и теперь никак не могу настроить маршрутизацию - трафик всравно идет мимо вПН.
если напрямую вешать на клиента политику с ВПН - работает, через маршрутизацию ни вкакую...

почитал форум но ничего не понятно -
нужно ли ставить эти ВПН DoT и DoH?
Нужно ли в настройках подключения ВПН отмечать галками "Игнорировать DNSv4 провайдара"?
или еще что-то?

При том если ставить маршруты IPv4 просто через ip как раньше, то вроде работает. 
Провайдер с фиксированым IP и шлюзом
ДНС пробовал и от провайдера и публичный.. 
что делать?)

[FLK]

12 часов назад, spatiumstas сказал:

5.0.3 без изменений. Так же через время пропускает трафик в провайдера игнорируя эксклюзивный маршрут 

К сожалению ты практически сам себе это сказал))))))