Маршрутизация DNS иногда не работает

[qmxocynjca]

В роутере (fw 5.0.0) прописан DNS от провайдера (обычный) и от Яндекса (DoT), в списке DNS маршрутизации прописан youtube.com.

Проблема: www.youtube.com не смог зароутиться куда надо. После неудачного роутинга несколько раз делал "nslookup www.youtube.com 192.168.1.1", но результата не дало - роутер упорно вёл по провайдеру.

Пробовал включить dns-proxy debug, после чего роутер почти завис секунд через 30, смог выключить эту настройку только через telnet. Кажется после этого роутинг таки заработал, но легче от этого не стало.

Наблюдения:

* провайдерные DNS возвращают 173.194.221.198 от primary и 64.233.162.198 от secondary на nslookup www.youtube.com.

* nslookup на www.youtube.com возвращает "Tracing route to wide-youtube.l.google.com", а на youtube.com возвращает "Tracing route to youtube.com".

* nslookup www.youtube.com 77.88.8.8 (обычный dns от яндекса) возвращает разные адреса на каждый запрос.

Вот как это примерно выглядит:

C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [173.194.220.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms     1 ms  <isp_gw>
^C
C:\Users\user>nslookup www.youtube.com 192.168.1.1
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    wide-youtube.l.google.com
Addresses:  2a00:1450:4010:c1e::c6
          142.251.1.198
Aliases:  www.youtube.com
          youtube-ui.l.google.com


C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [142.251.1.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms    <1 ms  <isp_gw>
^C
  
C:\Users\user>tracert -d -w 50 youtube.com

Tracing route to youtube.com [173.194.221.91]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.88.88
  2    91 ms    89 ms     *     <kvn_gw>
  

 

 

Изменено 4 ноября пользователем qmxocynjca

[t800]

42 минуты назад, Racer X сказал:

Если вы про политики, то на форуме уже не  раз писалось в том числе разработчиками, что DNS маршрутизация работает только в политике по умолчанию. В остальных не работает. 

А профиль DNS влияет? Должен использоваться только системный профиль или это не принципиально и можно указать один из предустановленных профилей «интернет-фильтров»? 

[qmxocynjca]

На 5.0.2 улучшений нет, к сожалению. Всё так же некоторые IP идут мимо.

[Racer X]

19 минут назад, qmxocynjca сказал:

На 5.0.2 улучшений нет, к сожалению. Всё так же некоторые IP идут мимо

К сожалению да. Тоже подтверждаю на KN-1011.

У меня такое ощущение, что разработчики просто не видят этой проблемы и потому не могут ее отловить. За 10-15 мин тестирования кмк крайне мало шансов с ней столкнуться, а если не делать что-то постоянно - можно и не заметить 1-2 минутных отвалов. Чтобы это четко проявилось, нужно хотя бы день пожить с роутером в реальных условиях.
Я вот это в основном замечаю по стриминговому аудио и видео, которые в норме должны уходить в тоннель. Когда затыкается - сразу обращаешь внимание.

Изменено 5 декабря пользователем Racer X

[qmxocynjca]

@Le ecureuil похоже есть проблема с обработкой DNS TCP запросов. Хром в какой-то момент вместо UDP может использовать TCP на 53 порт. Я вижу что зарезолвленные IP не наполняют списки в этом случае.

Воспроизводится так:

1. Добавляем список с единственным доменом example.com

2. Делаем

nslookup
set vc
example.com
www.example.com

Видим что example.com наполнился IP адресами в show object-group fqdn, а www.example.com уже нет.

Делаем nslookup www.example.com (в UDP режиме), и видим что IP адреса появились у www.example.com.

Конец.

[FLK]

В 05.12.2025 в 21:06, qmxocynjca сказал:

@Le ecureuil похоже есть проблема с обработкой DNS TCP запросов. Хром в какой-то момент вместо UDP может использовать TCP на 53 порт. Я вижу что зарезолвленные IP не наполняют списки в этом случае.

Воспроизводится так:

1. Добавляем список с единственным доменом example.com

2. Делаем

nslookup
set vc
example.com
www.example.com

Видим что example.com наполнился IP адресами в show object-group fqdn, а www.example.com уже нет.

Делаем nslookup www.example.com (в UDP режиме), и видим что IP адреса появились у www.example.com.

Конец.

Ему тут писать сейчас нет смысла. Пишите в ТП

Изменено 8 декабря пользователем FLK

[Pravda8]

Настроены были маршруты DNS на несколько ресурсов через сокс5 и openvpn, работало 3 дня. Потом в один момент резко перестали работать, сами тунели живые и рабочие. Kn1012

[t800]

1 час назад, Pravda8 сказал:

Настроены были маршруты DNS на несколько ресурсов через сокс5 и openvpn, работало 3 дня. Потом в один момент резко перестали работать, сами тунели живые и рабочие. Kn1012

Кейс в поддержку открыли? Селф-тест в момент, когда проблема наблюдалась, сняли и приложили?

[spatiumstas]

В 18.11.2025 в 00:53, spatiumstas сказал:

5.0.1 - работает 3-4 часа и хаотично начинает делать пропуски. Эксклюзивный маршрут игнорируется - трафик идёт в провайдера, через минут 5 нормализуется и снова в туннель. Снять логи проблематично, в момент запуска debug все начинает маршрутизироваться как и должно

5.0.3 без изменений. Так же через время пропускает трафик в провайдера игнорируя эксклюзивный маршрут 

[qmxocynjca]

На 5.0.3 всё ещё какая-то явная проблема. После перезагрузки роутера включаю запись на chrome://net-export, иду на youtube.com, вижу фигу.

В логе net-export вижу UDP DNS запрос к роутеру, по dependency явно виден ответ от роутера и следующим за ним коннект к 173.194.222.198:443. При этом 173.194.222.198 не появился в show object-group fqdn.

DNS на роутере настроен в режиме интернет-фильтра где в системном профиле заданы несколько DoT, включая 8.8.8.8. Устройство точно использует системный DNS профиль и дефолтную политику.

Ответ включал именно этот адрес:

HOST_RESOLVER_DNS_TASK_EXTRACTION_RESULTS
  --> results = [
		{
		  "domain_name": "wide-youtube.l.google.com",
		  "endpoints": [
			{
			  "address": "173.194.222.198",
			  "port": 0
			}
		  ],
		  "hosts": [],
		  "query_type": "A",
		  "source": "dns",
		  "strings": [],
		  "timed_expiration": "13410556011478764",
		  "type": "data"
		},

[qmxocynjca]

Такое ощущение что DNS ответы парсятся на сколько это возможно, и если что-то парсеру не нравится то в логику наполнения списков они не попадают. Вручную nslookup www.youtube.com тоже как-то не ахти наполняет списки сейчас. Даже не знаю что ещё сказать... Ждём, надеемся, верим.

[Racer X]

6 минут назад, qmxocynjca сказал:

Такое ощущение что DNS ответы парсятся на сколько это возможно, и если что-то парсеру не нравится то в логику наполнения списков они не попадают. Вручную nslookup www.youtube.com тоже как-то не ахти наполняет списки сейчас. Даже не знаю что ещё сказать... Ждём, надеемся, верим.

Сообщайте в поддержку в телеге. Так они точно узнают и они там вполне себе отвечают.
Говорят что тут разработчики редко появляются сейчас.

Изменено 18 декабря пользователем Racer X

[jagel]

огромная просьба - помогите пожалуйста простым языком, для "деревянных"
какая-то беда просто(
полгода прекрасно работала маршрутизация по DNS по спискам доменов. 
Интерфейс OpenVpn, когда первый раз настраивал не возникло ни одной проблемы.
Работало на какой-то бета версии 5.0.0

вчера обновился до 5.0.2
и теперь никак не могу настроить маршрутизацию - трафик всравно идет мимо вПН.
если напрямую вешать на клиента политику с ВПН - работает, через маршрутизацию ни вкакую...

почитал форум но ничего не понятно -
нужно ли ставить эти ВПН DoT и DoH?
Нужно ли в настройках подключения ВПН отмечать галками "Игнорировать DNSv4 провайдара"?
или еще что-то?

При том если ставить маршруты IPv4 просто через ip как раньше, то вроде работает. 
Провайдер с фиксированым IP и шлюзом
ДНС пробовал и от провайдера и публичный.. 
что делать?)

[FLK]

В 18.12.2025 в 21:05, spatiumstas сказал:

5.0.3 без изменений. Так же через время пропускает трафик в провайдера игнорируя эксклюзивный маршрут 

Заметил на 1 сайте (wetransfer.com), что трафик пошел через провайдера, а не туда куда должен был)

Изменено Вторник в 11:31 пользователем FLK

[hellonow]

@spatiumstas @qmxocynjca @jagel спасибо.

Работа будет продолжена в рамках кейса NDM-4206.
Просьба ожидать следующую версию ПО 5.0.4

В версии ПО 5.0.3 рекомендуется проверять резолвинг не сразу, а по истечении 5-10 секунд.

Если для работы это критично, то тогда временно выполните откат на 5.0.2

Файлы можно взять здесь:

https://osvault.keenetic.ru

https://osvault.netcraze.ru 

[Noksa]

В 5.0.3 ощущение что вообще немного сломалась маршрутизация DNS, если сравнить с 5.0.2.

Обновился 4 дня назад. И вот сегодня некоторые маршруты просто не работают. А возможно это и раньше было, просто не обращал внимания  

 

show object-group fqdn показывает следующее (на примере конкретного домена):

		{
			"group-name": "work",
			"enabled": true,
			"ipv4-addresses-count": 114,
			"ipv6-addresses-count": 111,
			"fqdn-count": 46,
			"entry": [
				{
					"fqdn": "cloud.elastic.co",
					"type": "runtime",
					"deadline4": 17,
					"deadline6": 78,
					"fail-counter4": 0,
					"fail-counter6": 3,
					"last-external": 294,
					"last-list-changed": 294,
					"parent": "elastic.co",
					"ipv4": [
						{
							"address": "151.101.1.94",
							"ttl": 60,
							"last-updated": 43
						},
						{
							"address": "151.101.65.94",
							"ttl": 60,
							"last-updated": 43
						},
						{
							"address": "151.101.129.94",
							"ttl": 60,
							"last-updated": 43
						},
						{
							"address": "151.101.193.94",
							"ttl": 60,
							"last-updated": 43
						}
					],
					"ipv6": []
				},

 

Вроде бы наполнение IP адресами есть.

Но трафик не идёт через настроенный туннель, в итоге получаем отлуп от серверов если открыть в браузере cloud.elastic.co:

 

Галочки соответственно все стоят в "Правила маршрутизации" как и стояли раньше для этого списка:

 

Т.е. сейчас такое ощущение что маршрутизация по DNS в моём роутере полностью отвалилась, как минимум для конкретного домена и его поддоменов и трафик идёт напрямую.

 

Могу приложить ещё какую-нибудь информацию, если подскажите какую, надеюсь это поможет пролить свет на причину.

 

[Racer X]

9 минут назад, Noksa сказал:

В 5.0.3 ощущение что вообще немного сломалась маршрутизация DNS, если сравнить с 5.0.2.

Да, тоже ощущение что в 5.0.3. стало хуже. Чаще стало затыкаться. Стало примерно как 5.0.1 и ранее. 
5.0.2 пока лучше всех работала. Тоже спотыкалась, но заметно реже.

[spatiumstas]

14 минут назад, Noksa сказал:

В 5.0.3 ощущение что вообще немного сломалась маршрутизация DNS

Сообщение выше принципиально проигнорировали?

[Noksa]

Только что, spatiumstas сказал:

Сообщение выше принципиально проигнорировали?

Почему же, нет.

Просто добавил деталей  

В сообщениях выше я вижу, что трафик временно начинал идти напрямую, а потом снова через туннель.

У меня же он идёт напрямую для конкретных доменов постоянно, игнорируя туннель.

[Илья Картавенко]

5.0.3

Вчера удалил все сторонние dns, оставил только провайдерские, и один, прописанный в wireguard. Также сократил колличество маршрутов для ютуба. Сутки полет нормальный 

Изменено Четверг в 13:10 пользователем Илья Картавенко

[jagel]

в общем, тут какая-то магия. 
на первых бетах все работало.
после того как апнулся на 5.0.3 работает только по IP
откатываюсь обратно на бетки, но она них по доменам маршруты теперь тоже не работают. 
как будто работающие маршруты по доменам мне снились)) никак не получается их заставить работать..

[Илья Картавенко]

Да, вчера отвалился ватсапп по доменам. До сих пор не проглючился

[mrGhotius]

Блин, читаю тему и думаю, может я что делаю не так? Может сайты не те добавляю?  У меня ни на 5.0.2, ни на 5.0.3 никаких проблем со штатной маршрутизацией FQDN нет.

Изменено Пятница в 14:20 пользователем mrGhotius

[dchusovitin]

1 час назад, mrGhotius сказал:

Блин, читаю тему и думаю, может я что делаю не так? Может сайты не те добавляю?  У меня ни на 5.0.2, ни на 5.0.3 никаких проблем со штатной маршрутизацией FQDN нет.

Заметно на cdn с гео ограничениями. Можно устроить тест на твиче (для работы 1080p), пустив два домена по маршрутам. Там вообще какие-то чудеса творятся.
Бывает, что добавляется в object-group/ipset только один IP из четырех. Точнее практически всегда 
В object-group/ipset накопилось несколько десятков (под сотню) IP (т.к. все за CDN). Вроде корректно. Но тот добавленный (указанный выше) IP исчезает из списков через несколько секунд. Магия 

[mrGhotius]

1 час назад, dchusovitin сказал:

Можно устроить тест на твиче (для работы 1080p), пустив два домена по маршрутам.

Я так понимаю вы про это?

Спойлер

Тут мне не совсем понятен смысл теста, twitch работает без обхода, а данное ограничение у меня появляется даже при использовании TOR

Спойлер

Может есть другой пример?

[dchusovitin]

1 час назад, mrGhotius сказал:

Может есть другой пример?

Чтобы появился 1080p, т.к. он выключен для РФ. Нормальный пример, суть теста в частом смене адресов и большом пуле.

Один (или два) домен добавить для теста в маршрутизацию - usher.ttvnw.net (+ gql.twitch.tv)
Желательно обновлять страницу (чтобы поймать рандом и увидеть), или смотреть на наполнение ip (лучше).

Если прыгать по трансляциям, то разницу можно заметить (пропадет 1080p). Сначала все работает, идет наполнение. Потом начинаются странности, описанные в пред. сообщении.

С большинством сайтов нет особых проблем, если ip редко меняются. Я жду обновления, потом проверю и кину сценарий в поддержку. Если использовать альтернативные способы маршрутизации, то работает стабильно.

Изменено Пятница в 19:27 пользователем dchusovitin

[mrGhotius]

8 минут назад, dchusovitin сказал:

Чтобы появился 1080p, т.к. он выключен для РФ.

Вот 1080р, без обхода

Спойлер

 

10 минут назад, dchusovitin сказал:

С большинством сайтов нет особых проблем, если ip редко меняются.

Собственно я понял о чем вы, потестирую какой-нибудь сайт, который меняет адреса чуть ли ни при каждом резолве.

[spatiumstas]

36 минут назад, dchusovitin сказал:

Чтобы появился 1080p, т.к. он выключен для РФ.

Не 1080p ограничен в РФ, а максимальное качество которое выставляет стример. Если выберет 1440p, всем будет доступно 1080p, если 1080p - 720p, и тд

[dchusovitin]

1 час назад, mrGhotius сказал:

Вот 1080р, без обхода

У кого-то стоит плагин в браузере для обхода, либо способ через "днс", либо из-за ipv6 (неправильного определения геолокации).

PS. Или сообщение выше, от spatiumstas =) Рандом и с другими доменами случается, но заметить сложнее.

Изменено Пятница в 20:47 пользователем dchusovitin

[dchusovitin]

9 минут назад, spatiumstas сказал:

Не 1080p ограничен в РФ, а максимальное качество которое выставляет стример. Если выберет 1440p, всем будет доступно 1080p, если 1080p - 720p, и тд

Или так, по сути одно и тоже  Большинство работает в 1080p, так что заметно будет.