Маршрутизация DNS иногда не работает

[qmxocynjca]

В роутере (fw 5.0.0) прописан DNS от провайдера (обычный) и от Яндекса (DoT), в списке DNS маршрутизации прописан youtube.com.

Проблема: www.youtube.com не смог зароутиться куда надо. После неудачного роутинга несколько раз делал "nslookup www.youtube.com 192.168.1.1", но результата не дало - роутер упорно вёл по провайдеру.

Пробовал включить dns-proxy debug, после чего роутер почти завис секунд через 30, смог выключить эту настройку только через telnet. Кажется после этого роутинг таки заработал, но легче от этого не стало.

Наблюдения:

* провайдерные DNS возвращают 173.194.221.198 от primary и 64.233.162.198 от secondary на nslookup www.youtube.com.

* nslookup на www.youtube.com возвращает "Tracing route to wide-youtube.l.google.com", а на youtube.com возвращает "Tracing route to youtube.com".

* nslookup www.youtube.com 77.88.8.8 (обычный dns от яндекса) возвращает разные адреса на каждый запрос.

Вот как это примерно выглядит:

C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [173.194.220.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms     1 ms  <isp_gw>
^C
C:\Users\user>nslookup www.youtube.com 192.168.1.1
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    wide-youtube.l.google.com
Addresses:  2a00:1450:4010:c1e::c6
          142.251.1.198
Aliases:  www.youtube.com
          youtube-ui.l.google.com


C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [142.251.1.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms    <1 ms  <isp_gw>
^C
  
C:\Users\user>tracert -d -w 50 youtube.com

Tracing route to youtube.com [173.194.221.91]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.88.88
  2    91 ms    89 ms     *     <kvn_gw>
  

 

 

Изменено 4 ноября, 2025 пользователем qmxocynjca

[Racer X]

3 часа назад, kisil-mike сказал:

Вряд ли у них будет время на новый функционал в ближайшее время, имхо.

Да причем тут новый? Тут как раз бы существующий допилить чтобы периодически мимо тоннеля не пролетало.

Изменено 27 января пользователем Racer X

[Dimenshn]

7 часов назад, avn сказал:

Есть другие варианты без nat, но это явно не Ваш уровень.

Вы серьёзно решили меряться умением настроить IPv6? 🙃

Я вам про Фому, а вы мне про Ерёму.

Всю дорогу кинетик на все предложения фич всегда отвечал, что встраивать в UI будет только то, что будет способна настроить а-ля домохозяйка-эникейщик. Чтобы саппорт не заваливали вопросами "почему не работает?". Остальное только через CLI для энтузиастов.

И вот нам выкатили долгожданную и очень полезную фичу, добавив её на UI. Я её настроил и ожидаю некое поведение, а оно не происходит. И нигде об этом ничего не написано. Куда я пойду? Мучать людей в тг группу, на форум или саппорт, тратить их и своё время на чтение self-test и скриншотов, пока мы все не разберёмся, что у меня оказывается есть ещё и IPv6 и поэтому функционал не работает и в принципе работать оказывается не должен, если у вас нет доступа к серверу для его настройки.

А потом кто-нибудь вроде вас начнёт классическое "RTFM, не может он IPv6 через нат себе поднять, ха-ха".

При этом есть адекватный вариант сделать так, чтобы оно просто работало и не *** никому мозги.

"It just works" Todd Howard.

 

[Racer X]

Мне кажется что давно пора сделать два варианта UI: грубо говоря basic (с теми самыми базовыми настройками для домохозяек) и advanced c полным набором для энтузиастов и тех, кому это нужно. И сделать переключение между двумя наборами настроек, и в начальную установку встроить выбор.
С появлением новых фич и усложнением UI кмк это становится все более актуальным. Такое много где встречается.

Изменено 27 января пользователем Racer X

[avn]

1 час назад, Dimenshn сказал:

Вы серьёзно решили меряться умением настроить IPv6? 🙃

Я вам про Фому, а вы мне про Ерёму.

Всю дорогу кинетик на все предложения фич всегда отвечал, что встраивать в UI будет только то, что будет способна настроить а-ля домохозяйка-эникейщик. Чтобы саппорт не заваливали вопросами "почему не работает?". Остальное только через CLI для энтузиастов.

И вот нам выкатили долгожданную и очень полезную фичу, добавив её на UI. Я её настроил и ожидаю некое поведение, а оно не происходит. И нигде об этом ничего не написано. Куда я пойду? Мучать людей в тг группу, на форум или саппорт, тратить их и своё время на чтение self-test и скриншотов, пока мы все не разберёмся, что у меня оказывается есть ещё и IPv6 и поэтому функционал не работает и в принципе работать оказывается не должен, если у вас нет доступа к серверу для его настройки.

А потом кто-нибудь вроде вас начнёт классическое "RTFM, не может он IPv6 через нат себе поднять, ха-ха".

При этом есть адекватный вариант сделать так, чтобы оно просто работало и не *** никому мозги.

"It just works" Todd Howard.

 

Прошивка теперь только дуал стек. Другого не дано. И это правильно, весь мир стремится к dual stack. То, что вы хотите - это прошлое. 

 

Те, кто хотел сидели с этой фичей ещё с прошивки 3.x. Так же и wg с ipv6 работал уже на версии 3.6, когда добавили ipv6 rule в ядро.

Изменено 27 января пользователем avn

[Dimenshn]

2 часа назад, avn сказал:

То, что вы хотите - это прошлое. 

Ну извините, если не делать это неявно автоматически, как предложил я, то тогда надо явно делать и для DNS маршрутизации две отдельные вкладки, галочки или какие-нибудь подменюшки, как это сделано для обычных IPv4 и IPv6 маршрутизаций.

Потому что иначе вообще интуитивно не понятно, почему для одного стека функционал работает, а для другого стека не работает. А потом народ сидит и гадает: то работает, то не работает.

[mrGhotius]

9 минут назад, Dimenshn сказал:

почему для одного стека функционал работает, а для другого стека не работает.

Может быть конкретный пример приведете, что у вас не работает? Потому что у меня все работает как с IPv4, так и с IPv6. В данной теме люди пишут о проблеме связанной с ресурсами которые меняют адреса при каждом резолве. И от стека это не зависит.  

[hlnw]

В 27.01.2026 в 01:32, Dimenshn сказал:

Печально, что до сих пор эта маршрутизация не работает, когда у сайта есть IPv6 и IPv4 адреса. Сайт просто идёт мимо IPv4 туннеля по IPv6 без какой-либо маршрутизации. Хоть вовсе отключай IPv6.

К сожалению да. Временное решение - отключать IPv6. В будущем будет исправлено.

[hlnw]

В 20.01.2026 в 13:49, kisil-mike сказал:

На 5.0.4 (KN-3810 и KN-1112) часть трафика тоже иногда идёт в обход списков. Особенно это заметно на популярном видеохостинге с большим числом загрузки чанков — по 10–15 запросов в секунду. Тогда часть запросов неожиданно проходит по основному соединению, минуя правила маршрутизации.

Есть предположение, что на нестабильную работу влияет и нагрузка на DNS. Например, ChatGPT стабильно работает по своему списку dns маршрутизации, но если параллельно открыть видеохостинг с лавиной запросов, chatgpt.com иногда тоже начинает уходить в основное соединение. Если же часть правил маршрутизации заменить с DNS-имен на IP-подсети, уменьшая число DNS-запросов с видеохостинга, всё снова работает стабильно, включая ChatGPT.

Опция reject при этом включена у маршрута? Если да, то создан кейс NDM-4251 на исправление работы опции при истечении времени работы роутера более 2 суток.

[Chif]

Маршрутизация DNS
не мог добиться входа на сайт intel.com
бывало и другие сайты повисали.
Победил просто: "Сетевые фильтры"=>"Конкретный фильтр" вкладка, ниже опускаемся "Профили контентной фильтрации по умолчанию" в  "Домашняя сеть" - установил "Системный", до этого стоял "AdGuard DNS — Нефильтрующие серверы".

Короче конфликт DNS идёт.

[Alex Izo]

Господа, добрый день!

Объясните пожалуйста, почему так происходит? Если создать список доменов, например 2ip.ru, и для него создать два одинаковых правила, но перенаправление в разные интерфейсы квн с отличными от РУ странами. Заходим на сайт - видим страну квн1, отключаем этот квн1 в др подключениях, обновляем сайт, а там уже РУ сегмент, а не квн2????

[c0ldplay]

В 28.01.2026 в 12:38, hlnw сказал:

К сожалению да. Временное решение - отключать IPv6. В будущем будет исправлено.

Подскажите, а где нужно отключить ipv6 ? Не могу найти в настройках

[Nefertum]

В 04.02.2026 в 09:11, Alex Izo сказал:

Господа, добрый день!

Объясните пожалуйста, почему так происходит? Если создать список доменов, например 2ip.ru, и для него создать два одинаковых правила, но перенаправление в разные интерфейсы квн с отличными от РУ странами. Заходим на сайт - видим страну квн1, отключаем этот квн1 в др подключениях, обновляем сайт, а там уже РУ сегмент, а не квн2????

Косяк маршрутизации, у меня так же, хотя должно идти через другой интерфейс

[Alex Izo]

13 часов назад, Nefertum сказал:

Косяк маршрутизации, у меня так же, хотя должно идти через другой интерфейс

Имеются идеи, как это лечить?

[Noksa]

В 04.02.2026 в 18:19, c0ldplay сказал:

Подскажите, а где нужно отключить ipv6 ? Не могу найти в настройках

Если по кабелю, то в "Кабель Ethernet" во вкладке "Интернет":

[dimon27254]

В 26.01.2026 в 03:41, hlnw сказал:

Если у вас воспроизводится, например, как у @spatiumstas , то тогда напишите пожалуйста в поддержку. Приложив self-test файл и описание сетапа, с какими именно сервисами воспроизводится.

В 5.1 Alpha 6 на NC-1812 удалось воспроизвести ситуацию, когда object-group fqdn не успевает пополнять собственный список IP-адресов новыми, но dns-proxy эти новые уже успешно отдает клиенту.

В качестве DNS-сервера использовал AdGuardHome на VPS, где мог посмотреть статистику запросов.

Проверяемый домен - tr.rbxcdn.com. На нем очень быстро меняются A-записи.

0. Очищен DNS-кэш на устройстве, а также перезапущен роутер для очистки runtime-кэша в object-group fqdn.

1. Сделал несколько попыток ping с устройства на данный домен. Запрос успешно прошел через роутер и VPS. Все IP из ответа DNS успешно попали в object-group fqdn. На скриншоте привел время запроса и ответ.

Спойлер

2. Спустя ~40 секунд сделал повторный ping. Windows выполнила перерезолв домена и получила новый IP. Запрос снова прошел через роутер и VPS, однако здесь как раз и появилось расхождение между object-group fqdn и отдаваемым dns-proxy IP-адресом.

Скриншот 1 - пинг по новому IP и просмотр записей в object-group fqdn.
Скриншот 2 - детали запроса, сделанного клиентом через роутер, где уже видны новые IP, один из которых получил клиент.

Спойлер

3. Через некоторое время сработал авторезолв, и список накопленных IP обновился теми, которые получил клиент ранее, потому что прошивка сделала повторный запрос.

Спойлер

На практике вот такие "подтормаживания" логики NDMS приводят к тому, что реальный HTTP-запрос клиента уже давно проскользнул мимо туннеля, потому что актуальный IP не успел попасть в object-group fqdn. Приходится по несколько раз перезагружать страницу, или же ждать по минуте-две, пока браузер сам не попытается что-то предпринять.

[dchusovitin]

Опять cloudfront  Через скрипт в entware проще сравнивать ответы dns и ipset, более странные результаты получаются. Только он потерялся после переноса, попробую в бэкапах найти, может сейчас пригодится.