Маршрутизация DNS иногда не работает

[qmxocynjca]

В роутере (fw 5.0.0) прописан DNS от провайдера (обычный) и от Яндекса (DoT), в списке DNS маршрутизации прописан youtube.com.

Проблема: www.youtube.com не смог зароутиться куда надо. После неудачного роутинга несколько раз делал "nslookup www.youtube.com 192.168.1.1", но результата не дало - роутер упорно вёл по провайдеру.

Пробовал включить dns-proxy debug, после чего роутер почти завис секунд через 30, смог выключить эту настройку только через telnet. Кажется после этого роутинг таки заработал, но легче от этого не стало.

Наблюдения:

* провайдерные DNS возвращают 173.194.221.198 от primary и 64.233.162.198 от secondary на nslookup www.youtube.com.

* nslookup на www.youtube.com возвращает "Tracing route to wide-youtube.l.google.com", а на youtube.com возвращает "Tracing route to youtube.com".

* nslookup www.youtube.com 77.88.8.8 (обычный dns от яндекса) возвращает разные адреса на каждый запрос.

Вот как это примерно выглядит:

C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [173.194.220.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms     1 ms  <isp_gw>
^C
C:\Users\user>nslookup www.youtube.com 192.168.1.1
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    wide-youtube.l.google.com
Addresses:  2a00:1450:4010:c1e::c6
          142.251.1.198
Aliases:  www.youtube.com
          youtube-ui.l.google.com


C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [142.251.1.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms    <1 ms  <isp_gw>
^C
  
C:\Users\user>tracert -d -w 50 youtube.com

Tracing route to youtube.com [173.194.221.91]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.88.88
  2    91 ms    89 ms     *     <kvn_gw>
  

 

 

Изменено 4 ноября, 2025 пользователем qmxocynjca

[andrayosipov]

В 18.05.2026 в 09:43, andrayosipov сказал:

Присоединяюсь. Роутер обновился до 5.0.11 и DNS роутинг работать перестал. 

Удалось починить. Когда отключил диск с opkg все заработало. Видимо что-то из установленного сломало роутинг, мб NFQWS хз. Очистил диск и заново накатил NFQWS, все стало как прежде. Спасибо тех. подержке за рекомендацию отключить OPKG.

UPD: Но почему то не работает роутинг для citrix.com. По tracert вижу что маршрут строится через провайдера. Возможно потому что там редирект на www.citrix.com. Но добавление www.citrix.com не помогает.
Кстати очень похоже на ситуацию в коментарии выше. dns по www.citrix.com выдает другой ip

Изменено 19 мая пользователем andrayosipov
появилась новая проблема с citrix.com

[Judge71]

8 часов назад, Racer X сказал:

Они много где блокируются уже больше года.
Я бы сказал, что они чаще недоступны чем доступны.

Ну у меня на пяти разных провайдерах пока все в порядке. Начнут блокировать - будем решать проблему, благо резолверов хватает.

[VVS]

3 часа назад, andrayosipov сказал:

UPD: Но почему то не работает роутинг для citrix.com. По tracert вижу что маршрут строится через провайдера. Возможно потому что там редирект на www.citrix.com. Но добавление www.citrix.com не помогает.
Кстати очень похоже на ситуацию в коментарии выше. dns по www.citrix.com выдает другой ip

Только что проверил, внёс citrix.com в доменную маршрутизацию, всё работает.

 

[Alex Izo]

Народ, ну что вы глупых из себя строите, если вы добавляете по одному (ну пускай 10) доменов то да, работает. Проблема проявляет себя когда у вас "много" по 100+ доменов в каждом списке доменных имен...   тут все и так понимают как это настроить и что самое главное - как это должно работать!

 

Добавили они один цитрикс ком и все работает, тестеры мамкины...

[VVS]

Если некто не в состоянии адекватно описать проблему, то нечего переводить стрелки на того, кто пытается воспроизвести проблему по Вашему описанию.

Чтобы корректно описать проблему тоже мозги нужны.

[uhf]

Вроде бы одну проблему локализовал.
У меня настроены два DNS - провайдера, и яндексовский (77.88.8.8).
Я с клиента делаю ресолв www.youtube.com. DNS провайдера возвращает пусто, а DNS яндекса - запись с IP. Клиент получает IP, тут все нормально. Но при этом IP не сохраняется в fqdn object-group, соответственно, маршрутизации по домену нет:

Spoiler

<!-- show object-group fqdn -->
    <group>
        <group-name>domain-list0</group-name>
        <enabled>yes</enabled>
        <ipv4-addresses-count>0</ipv4-addresses-count>
        <ipv6-addresses-count>0</ipv6-addresses-count>
        <fqdn-count>2</fqdn-count>
        <entry>
            <fqdn>www.youtube.com</fqdn>
            <type>runtime</type>
            <deadline4>1903</deadline4>
            <deadline6>1891</deadline6>
            <fail-counter4>0</fail-counter4>
            <fail-counter6>0</fail-counter6>
            <last-external>23</last-external>
            <last-list-changed>23</last-list-changed>
            <parent>youtube.com</parent>
            <ipv4/>
            <ipv6/>
        </entry>
        <entry>
            <fqdn>youtube.com</fqdn>
            <type>config</type>
            <deadline4>2147483</deadline4>
            <deadline6>2147483</deadline6>
            <fail-counter4>0</fail-counter4>
            <fail-counter6>0</fail-counter6>
            <last-external>106</last-external>
            <last-list-changed>106</last-list-changed>
            <ipv4/>
            <ipv6/>
        </entry>
        <excluded-ipv4/>
        <excluded-ipv6/>
        <excluded-fqdns/>
        <fqdn-count-runtime>1</fqdn-count-runtime>
    </group>

 

Если оставить только яндексовский DNS, а провайдерский запретить, то тогда IP сохраняется в fqdn object-group, как и ожидается:

    <!-- show object-group fqdn -->
    <group>
        <group-name>domain-list0</group-name>
        <enabled>yes</enabled>
        <ipv4-addresses-count>1</ipv4-addresses-count>
        <ipv6-addresses-count>1</ipv6-addresses-count>
        <fqdn-count>2</fqdn-count>
        <entry>
            <fqdn>www.youtube.com</fqdn>
            <type>runtime</type>
            <deadline4>284</deadline4>
            <deadline6>275</deadline6>
            <fail-counter4>0</fail-counter4>
            <fail-counter6>0</fail-counter6>
            <last-external>19</last-external>
            <last-list-changed>19</last-list-changed>
            <parent>youtube.com</parent>
            <ipv4>
                <address>142.251.1.198</address>
                <ttl>291</ttl>
                <last-updated>19</last-updated>
            </ipv4>
            <ipv6>
                <address>2a00:1450:4010:c02::c6</address>
                <ttl>278</ttl>
                <last-updated>19</last-updated>
            </ipv6>
        </entry>
        <entry>
            <fqdn>youtube.com</fqdn>
            <type>config</type>
            <deadline4>2147483</deadline4>
            <deadline6>2147483</deadline6>
            <fail-counter4>0</fail-counter4>
            <fail-counter6>0</fail-counter6>
            <last-external>70</last-external>
            <last-list-changed>70</last-list-changed>
            <ipv4/>
            <ipv6/>
        </entry>
        <excluded-ipv4/>
        <excluded-ipv6/>
        <excluded-fqdns/>
        <fqdn-count-runtime>1</fqdn-count-runtime>
    </group>

 

Правда, клиенту почему-то в это время доходит другой IP

ping www.youtube.com

Pinging wide-youtube.l.google.com [173.194.220.198] with 32 bytes of data:
Reply from 173.194.220.198: bytes=32 time=89ms TTL=105
Reply from 173.194.220.198: bytes=32 time=89ms TTL=105

Может быть mDNS делает несколько запросов подряд, тут я не разбирался.
Но суть в том, что пустые ответы DNS ломают логику. 
Совсем от провайдерского DNS отказываться не хотелось бы, там у них внутренние домены.

[Racer X]

Оставьте провайдерский только для резолва внутренних доменов и больше ни для чего им не пользуйтесь.
Да и вообще в наше время использовать обычный DNS уже как-то не але. Переходите на DoH или DoT.
Кинетик при наличие DoH или DoT автоматом отключает обычные.

[Racer X]

8 часов назад, VVS сказал:

Чтобы корректно описать проблему тоже мозги нужны.

«Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа».
:)

[uhf]

13 hours ago, Racer X said:

Оставьте провайдерский только для резолва внутренних доменов и больше ни для чего им не пользуйтесь.

"- Доктор, я когда вот так вот делаю, у меня вот тут болит.
- А вы так не делайте. Следующий!" 😃

Я настроил отдельный DNS профиль для клиента, указал ему свой DNS-прокси с логированием. Делаю ресолв www.youtube.com с клиента. mDNS переслал запрос на мой DNS, тот дальше, ответ проброшен до клиента, в нем один IP, тот который в моем логе.
Но. В object-group fqdn добавлен другой IP, не тот, которым ответил мой DNS. 

Предположим, mDNS проксирует запрос на все DNS (их всего было три), а потом в список берет айпи из любого ответа, который ему понравится. Сомнительно, но ок.
Оставляю только один DNS 77.88.8.8. Делаю ресолв с клиента. Сравниваю полученный клиентом IP с IP в object-group fqdn. Первая попытка - IP одинаковые. Вторая попытка - IP разные. Как это возможно!? Я не понимаю, как это работает.
Перед каждой попыткой, естественно, перезагружаю роутер.

UPD: OPKG нет

Изменено 20 мая пользователем uhf
уточнение

[Простолюдин]

Стойкое ощущение, что описанные проблемы связаны не с маршрутизацией, а работой DNS.
У меня Youtube идет через локальный прокси, т.е. без использования КВН и маршрутов и периодически он перестает грузиться, хотя через минут 5 отлипает сам и снова работает.

Я чуть поисследовал это поведение в моменты подобных сбоев и обнаружил, что DNS в моменте начинает резолвить новый ip-адрес. Т.е. локально у меня один IP, а на роутере в этот момент может быть другой (я проверял через nslookup на ПК и на роутере). Как только все записи обновятся все снова начинает работать.

[Racer X]

Может быть роутер некорректно отрабатывает TTL у DNS?

[uhf]

Поставил логирующий DNS единственным, и обнаружилось странное.
Во-первых, при получении запроса от клиента, роутер отправляет в DNS сразу два запроса одновременно. Если DNS вернет для них разные IP - вот и не работает маршрутизация.
Во-вторых, роутер потом периодически продолжает слать запрос этого домена в DNS, хотя его вроде бы не просили. Не вижу причин так делать. Это еще хуже, когда маршрутизация не работает, а спустя время магическим образом начинает работать.

[hlnw]

В 18.05.2026 в 07:43, andrayosipov сказал:

настраивал политику в которой включал только VPN соединение, и назначал устройствам эту политику, тоже почему-то не сработало и трафик шел напрямую

Спасибо за self-test. 

К сожалению повторить не получилось. Была выполнена настройка конфигурации объектных групп, согласно вашим данным. Не повторяется.

Пробуйте явно отключить OPKG Entware с настроенными правилами NFQWS.

Работа над улучшением DNS Routing будет продолжена.

Важно, рассматриваются кейсы ТОЛЬКО с настроенными правилами в объектных группах, без OPKG Entware.

[cheburashkaDDNS]

в последнее время наблюдается такая же история. поднят туннель на интерфейсе wg0, настроены DoH (транзит запросов блокируется), OPKG нет. DNS-маршрутизация с пятью списками, четыре по категориям и один общий. обратил внимание, что часть доменов из общего списка (порядка 70 строк) перестаёт ходить в туннель (галочка добавлять автоматически стоит). не помогала ни перезагрузка интерфейса, ни перезагрузка самого интернет-центра. дробление списка на чанки по 30 записей сняло вопрос. 

но теперь спорадически начала наблюдаться другая проблема. может такое быть что трафик до самого домена из списка идёт в туннель, а до его субдоменов и доменов четвёртого уровня заворачиваться в сеть провайдера, либо изначально для него не работать маршрутизация. через какое-то время отпускает и поведение становится предсказуемым. в системном журнале подозрительных событий не обнаружил. комментарии выше мне кажется верно определяют источник проблем.

5.1 Beta 3

[denistr]

Netcraze Ultra (NC-1812) 5.1 Beta 1 те же проблемы описанные в топике, особенно поведение cheburashkaDDNS. Как помочь диагностикой? Какие логи нужно собрать? Я готов предоставить всю нужную информацию, если требуется. Не пользуюсь OPKG, только нативный функционал.