Маршрутизация DNS иногда не работает

[qmxocynjca]

В роутере (fw 5.0.0) прописан DNS от провайдера (обычный) и от Яндекса (DoT), в списке DNS маршрутизации прописан youtube.com.

Проблема: www.youtube.com не смог зароутиться куда надо. После неудачного роутинга несколько раз делал "nslookup www.youtube.com 192.168.1.1", но результата не дало - роутер упорно вёл по провайдеру.

Пробовал включить dns-proxy debug, после чего роутер почти завис секунд через 30, смог выключить эту настройку только через telnet. Кажется после этого роутинг таки заработал, но легче от этого не стало.

Наблюдения:

* провайдерные DNS возвращают 173.194.221.198 от primary и 64.233.162.198 от secondary на nslookup www.youtube.com.

* nslookup на www.youtube.com возвращает "Tracing route to wide-youtube.l.google.com", а на youtube.com возвращает "Tracing route to youtube.com".

* nslookup www.youtube.com 77.88.8.8 (обычный dns от яндекса) возвращает разные адреса на каждый запрос.

Вот как это примерно выглядит:

C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [173.194.220.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms     1 ms  <isp_gw>
^C
C:\Users\user>nslookup www.youtube.com 192.168.1.1
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    wide-youtube.l.google.com
Addresses:  2a00:1450:4010:c1e::c6
          142.251.1.198
Aliases:  www.youtube.com
          youtube-ui.l.google.com


C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [142.251.1.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms    <1 ms  <isp_gw>
^C
  
C:\Users\user>tracert -d -w 50 youtube.com

Tracing route to youtube.com [173.194.221.91]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.88.88
  2    91 ms    89 ms     *     <kvn_gw>
  

 

 

Изменено 4 ноября, 2025 пользователем qmxocynjca

[Nefertum]

В 26.12.2025 в 15:17, mrGhotius сказал:

Блин, читаю тему и думаю, может я что делаю не так? Может сайты не те добавляю?  У меня ни на 5.0.2, ни на 5.0.3 никаких проблем со штатной маршрутизацией FQDN нет.

Жиза, один раз настроил 2 месяца назад и оно просто работает, даже скучно стало... Людям просто нечем заняться

[dchusovitin]

13 часов назад, Konstantin Grande сказал:

А реально вообще эту DNS-маршрутизацию встроенную завести, если стоит OPKG с AdGuard Home? Или только сторонними инструментами в таком случае?

 

[spatiumstas]

В 18.12.2025 в 20:05, spatiumstas сказал:

5.0.3 без изменений. Так же через время пропускает трафик в провайдера игнорируя эксклюзивный маршрут 

5.0.4 без изменений…..

[Илья Картавенко]

40 минут назад, spatiumstas сказал:

5.0.4 без изменений…..

Да, именно так.

[Racer X]

13 часов назад, spatiumstas сказал:

5.0.4 без изменений…..

Ну там вроде в ченжлоге и не было ничего на тему рутинга...

[Илья Картавенко]

2 минуты назад, Racer X сказал:

Ну там вроде в ченжлоге и не было ничего на тему рутинга...

Не было.

[Noksa]

В 22.12.2025 в 14:30, hellonow сказал:

@spatiumstas @qmxocynjca @jagel спасибо.

Работа будет продолжена в рамках кейса NDM-4206.
Просьба ожидать следующую версию ПО 5.0.4

В версии ПО 5.0.3 рекомендуется проверять резолвинг не сразу, а по истечении 5-10 секунд.

Если для работы это критично, то тогда временно выполните откат на 5.0.2

Файлы можно взять здесь:

https://osvault.keenetic.ru

https://osvault.netcraze.ru 

Отложилось на 5.0.5? 

[Илья Картавенко]

9 часов назад, Noksa сказал:

Отложилось на 5.0.5? 

Видимо,да, или еще, дальше

[kisil-mike]

На 5.0.4 (KN-3810 и KN-1112) часть трафика тоже иногда идёт в обход списков. Особенно это заметно на популярном видеохостинге с большим числом загрузки чанков — по 10–15 запросов в секунду. Тогда часть запросов неожиданно проходит по основному соединению, минуя правила маршрутизации.

Есть предположение, что на нестабильную работу влияет и нагрузка на DNS. Например, ChatGPT стабильно работает по своему списку dns маршрутизации, но если параллельно открыть видеохостинг с лавиной запросов, chatgpt.com иногда тоже начинает уходить в основное соединение. Если же часть правил маршрутизации заменить с DNS-имен на IP-подсети, уменьшая число DNS-запросов с видеохостинга, всё снова работает стабильно, включая ChatGPT.

Изменено 20 января пользователем kisil-mike

[vlzsilver]

тут какой то рандом, у меня chatgpt ни в какую на 5.0.4 не хотел идти по правилу маршрутизации DNS, пришлось включить снова по IP

а на 5.0.3 был момент, что через неделю отъезжал видеохостинг, именно g.....video.com, основной сайт и в приложении открывалось, но видео останавливались через несколько секунд

[Илья Картавенко]

1 минуту назад, vlzsilver сказал:

тут какой то рандом, у меня chatgpt ни в какую на 5.0.4 не хотел идти по правилу маршрутизации DNS, пришлось включить снова по IP

а на 5.0.3 был момент, что через неделю отъезжал видеохостинг, именно g.....video.com, основной сайт и в приложении открывалось, но видео останавливались через несколько секунд

Ага, у меня вчера ни с того ни с сего вчера вдруг начал ватсапп работать по доменам, правда, не долго проработал. 

[kisil-mike]

50 минут назад, vlzsilver сказал:

тут какой то рандом, у меня chatgpt ни в какую на 5.0.4 не хотел идти по правилу маршрутизации DNS, пришлось включить снова по IP

а на 5.0.3 был момент, что через неделю отъезжал видеохостинг, именно g.....video.com, основной сайт и в приложении открывалось, но видео останавливались через несколько секунд

действительно, такое ощущение что в какие-то моменты список просто перестает работать именно по доменам, при этом CIDR подсети работают стабильно. К слову, тот же видеохостинг, когда я настроил его изначально, проработала часа 3 вообще без проблем, и только потом вдруг перестал работать. На другом роутере было тоже самое: первые пару часов работало, потом вдруг перестало, но через время опять заработало. Непонятно. В общем, пока этот функционал явно сырой, потому что если использовать сторонние библиотеки для маршрутизации, типа hydraroute - там все работает гораздо стабильнее.

[Илья Картавенко]

40 минут назад, kisil-mike сказал:

действительно, такое ощущение что в какие-то моменты список просто перестает работать именно по доменам, при этом CIDR подсети работают стабильно. К слову, тот же видеохостинг, когда я настроил его изначально, проработала часа 3 вообще без проблем, и только потом вдруг перестал работать. На другом роутере было тоже самое: первые пару часов работало, потом вдруг перестало, но через время опять заработало. Непонятно. В общем, пока этот функционал явно сырой, потому что если использовать сторонние библиотеки для маршрутизации, типа hydraroute - там все работает гораздо стабильнее.

У меня видеохостинг работает более менее стабильно.

[kisil-mike]

27 минут назад, Илья Картавенко сказал:

У меня видеохостинг работает более менее стабильно.

Просто по доменам, без перечисления IP-сетей? Может на это влияет DNS? Какие у вас прописаны, если не секрет?

[Илья Картавенко]

1 минуту назад, kisil-mike сказал:

Просто по доменам, без перечисления IP-сетей? Может на это влияет DNS? Какие у вас прописаны, если не секрет?

Да. Для wireguard прописаны 1.1.1.1. А для основного подключения провайдерские. Все частные шифрованные удалены, интернет фильтры выключены. Но, работает независимо от того, какие я dns пропишу для wireguard. Wreguard также штатный, не амнезия. Сервер в рф.

[Racer X]

5 часов назад, Илья Картавенко сказал:

Ага, у меня вчера ни с того ни с сего вчера вдруг начал ватсапп работать по доменам, правда, не долго проработал. 

Вот это как раз возможно из-за провайдерских DNS. Из-за этого вообще много "интересного" возможно. Никто же не мешает им ставить заглушки в т.ч. и на DNS.
У меня вотсап по доменам норм работает. Но я давно везде отключил и убрал все провайдерские. Использую только забугорные DoH.

[vlzsilver]

4 часа назад, Racer X сказал:

Вот это как раз возможно из-за провайдерских DNS. Из-за этого вообще много "интересного" возможно. Никто же не мешает им ставить заглушки в т.ч. и на DNS.
У меня вотсап по доменам норм работает. Но я давно везде отключил и убрал все провайдерские. Использую только забугорные DoH.

я провайдерский оставил только для провайдерской локальной сети и только для его доменов, проблемы такие же есть

отдельно добавлены обычные ДНС и один DOT, были и DOH, но поудалял для эксперимента

кстати ж, те же гуглосервисы с разных днс и временных запросов возвращают разные адреса из своююих подсетей

Изменено 21 января пользователем vlzsilver

[Racer X]

3 часа назад, vlzsilver сказал:

кстати ж, те же гуглосервисы с разных днс и временных запросов возвращают разные адреса из своююих подсетей

Естественно. Как минимум они балансируют нагрузку на сервера. Так почти все CDN работают.

[vlzsilver]

17 часов назад, Racer X сказал:

Естественно. Как минимум они балансируют нагрузку на сервера. Так почти все CDN работают.

я в курсе, суть не в этом, а что в такие моменты роутер не добавляет маршруты

[Denis P]

41 минуту назад, Noksa сказал:

Есть ещё такой момент, когда используешь Transmission клиент на роутере, то при DNS маршрутизации не получается напрямую начать загрузку торрента по ссылке (если она недоступна просто так), её надо скачать и загрузить торрент файл самому.

Ссылка встаёт в очередь и на этом всё заканчивается.

При этом в системном журнале вообще нет никаких записей.

 

В статичных маршрутах такой проблемы нет, если вбить подсети до трекера.

ожидаемое поведение, днс маршруты не касаются самого роутера и его сервисов

[hlnw]

В 20.01.2026 в 00:42, Noksa сказал:

Отложилось на 5.0.5? 

Работа над кейсом NDM-4206 завершена.

Если у вас воспроизводится, например, как у @spatiumstas , то тогда напишите пожалуйста в поддержку. Приложив self-test файл и описание сетапа, с какими именно сервисами воспроизводится.

[FLK]

14 часов назад, hellonow сказал:

Работа над кейсом NDM-4206 завершена.

Если у вас воспроизводится, например, как у @spatiumstas , то тогда напишите пожалуйста в поддержку. Приложив self-test файл и описание сетапа, с какими именно сервисами воспроизводится.

К великому сожалению работа "закончена", но проблемы это не устранило, судя по "восторженным" отзывам о данном функционале во всех возможных темах.

 

[hlnw]

@FLK оптимизация будет продолжена, но уже в рамках ветки 5.1

[Racer X]

@hellonow т.е. в 5.0 dns рутинг так и останется таким хромым как есть сейчас и надеяться на улучшения в рамках ветки не стоит?

[Dimenshn]

Печально, что до сих пор эта маршрутизация не работает, когда у сайта есть IPv6 и IPv4 адреса. Сайт просто идёт мимо IPv4 туннеля по IPv6 без какой-либо маршрутизации. Хоть вовсе отключай IPv6.

[FLK]

11 часов назад, hellonow сказал:

@FLK оптимизация будет продолжена, но уже в рамках ветки 5.1

Понял, будем смотреть и надеяться на лучшее. Пока она действительно "хромает"...

Интересно в чем будет заключаться оптимизация? 

Изменено вчера в 06:20 пользователем FLK

[avn]

7 часов назад, Dimenshn сказал:

Печально, что до сих пор эта маршрутизация не работает, когда у сайта есть IPv6 и IPv4 адреса. Сайт просто идёт мимо IPv4 туннеля по IPv6 без какой-либо маршрутизации. Хоть вовсе отключай IPv6.

Все правильно делает. Используете ipv6, настраивайте его и для туннеля.

[Dimenshn]

5 часов назад, avn сказал:

Все правильно делает. Используете ipv6, настраивайте его и для туннеля.

"Настраивайте для туннеля" легко сказать. Самый популярный форк WireGuard в принципе не рассчитан на IPv6. Ещё и сервер надо найти с нормальной выдачей IPv6 подсети.

Гораздо логичнее кинетику сделать отключение выдачи AAAA записей, если маршрутизация по DNS направлена на IPv4-only интерфейс. И наоборот с A записями, если интерфейс IPv6-only.

Тогда бы у людей этот функционал просто работал без дополнительной головной боли. А сейчас функционал не имеет смысла для части пользователей.

[avn]

21 минуту назад, Dimenshn сказал:

"Настраивайте для туннеля" легко сказать. Самый популярный форк WireGuard в принципе не рассчитан на IPv6. Ещё и сервер надо найти с нормальной выдачей IPv6 подсети.

Гораздо логичнее кинетику сделать отключение выдачи AAAA записей, если маршрутизация по DNS направлена на IPv4-only интерфейс. И наоборот с A записями, если интерфейс IPv6-only.

Тогда бы у людей этот функционал просто работал без дополнительной головной боли. А сейчас функционал не имеет смысла для части пользователей.

Зачем Вам подсеть из wg? Возьмите ipv6 у провайдера. На wg используйте свою произвольную, 2001:db8::/64. Делов-то. 

Вообще ни разу не видел реализации wg без поддержки ipv6.

[Interface]
Address = 172.16.254.90/28, 2001:db8:beaf:abc::90/64

### Client 1
[Peer]
AllowedIPs = 172.16.254.89/32, 2001:db8:beaf:abc::89/128

### Client 2
[Peer]
AllowedIPs = 172.16.254.91/32, 2001:db8:beaf:abc::91/128

### Client 3
[Peer]
AllowedIPs = 172.16.254.92/32, 2001:db8:beaf:abc::92/128

### Client 4
[Peer]
AllowedIPs = 172.16.254.93/32, 2001:db8:beaf:abc::93/128

### Client 5
[Peer]
AllowedIPs = 172.16.254.94/32, 2001:db8:beaf:abc::94/128

И на сервере nat включить для ipv6.

-A POSTROUTING -o ens3 -j MASQUERADE

 

Есть другие варианты без nat, но это явно не Ваш уровень.

 

Изменено вчера в 11:20 пользователем avn

[kisil-mike]

14 часов назад, Racer X сказал:

@hellonow т.е. в 5.0 dns рутинг так и останется таким хромым как есть сейчас и надеяться на улучшения в рамках ветки не стоит?

Просто они 5.0.4 уже выложили в основной канал обновлений и теперь явно будут заниматься закрытием критических ошибок. Вряд ли у них будет время на новый функционал в ближайшее время, имхо.

Изменено вчера в 11:11 пользователем kisil-mike