Маршрутизация DNS иногда не работает

[qmxocynjca]

В роутере (fw 5.0.0) прописан DNS от провайдера (обычный) и от Яндекса (DoT), в списке DNS маршрутизации прописан youtube.com.

Проблема: www.youtube.com не смог зароутиться куда надо. После неудачного роутинга несколько раз делал "nslookup www.youtube.com 192.168.1.1", но результата не дало - роутер упорно вёл по провайдеру.

Пробовал включить dns-proxy debug, после чего роутер почти завис секунд через 30, смог выключить эту настройку только через telnet. Кажется после этого роутинг таки заработал, но легче от этого не стало.

Наблюдения:

* провайдерные DNS возвращают 173.194.221.198 от primary и 64.233.162.198 от secondary на nslookup www.youtube.com.

* nslookup на www.youtube.com возвращает "Tracing route to wide-youtube.l.google.com", а на youtube.com возвращает "Tracing route to youtube.com".

* nslookup www.youtube.com 77.88.8.8 (обычный dns от яндекса) возвращает разные адреса на каждый запрос.

Вот как это примерно выглядит:

C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [173.194.220.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms     1 ms  <isp_gw>
^C
C:\Users\user>nslookup www.youtube.com 192.168.1.1
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    wide-youtube.l.google.com
Addresses:  2a00:1450:4010:c1e::c6
          142.251.1.198
Aliases:  www.youtube.com
          youtube-ui.l.google.com


C:\Users\user>tracert -d -w 50 www.youtube.com

Tracing route to wide-youtube.l.google.com [142.251.1.198]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms     1 ms    <1 ms  <isp_gw>
^C
  
C:\Users\user>tracert -d -w 50 youtube.com

Tracing route to youtube.com [173.194.221.91]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.88.88
  2    91 ms    89 ms     *     <kvn_gw>
  

 

 

Изменено 4 ноября, 2025 пользователем qmxocynjca

[andrayosipov]

В 18.05.2026 в 09:43, andrayosipov сказал:

Присоединяюсь. Роутер обновился до 5.0.11 и DNS роутинг работать перестал. 

Удалось починить. Когда отключил диск с opkg все заработало. Видимо что-то из установленного сломало роутинг, мб NFQWS хз. Очистил диск и заново накатил NFQWS, все стало как прежде. Спасибо тех. подержке за рекомендацию отключить OPKG.

UPD: Но почему то не работает роутинг для citrix.com. По tracert вижу что маршрут строится через провайдера. Возможно потому что там редирект на www.citrix.com. Но добавление www.citrix.com не помогает.
Кстати очень похоже на ситуацию в коментарии выше. dns по www.citrix.com выдает другой ip

Изменено 18 часов назад пользователем andrayosipov
появилась новая проблема с citrix.com

[Judge71]

8 часов назад, Racer X сказал:

Они много где блокируются уже больше года.
Я бы сказал, что они чаще недоступны чем доступны.

Ну у меня на пяти разных провайдерах пока все в порядке. Начнут блокировать - будем решать проблему, благо резолверов хватает.

[VVS]

3 часа назад, andrayosipov сказал:

UPD: Но почему то не работает роутинг для citrix.com. По tracert вижу что маршрут строится через провайдера. Возможно потому что там редирект на www.citrix.com. Но добавление www.citrix.com не помогает.
Кстати очень похоже на ситуацию в коментарии выше. dns по www.citrix.com выдает другой ip

Только что проверил, внёс citrix.com в доменную маршрутизацию, всё работает.

 

[Alex Izo]

Народ, ну что вы глупых из себя строите, если вы добавляете по одному (ну пускай 10) доменов то да, работает. Проблема проявляет себя когда у вас "много" по 100+ доменов в каждом списке доменных имен...   тут все и так понимают как это настроить и что самое главное - как это должно работать!

 

Добавили они один цитрикс ком и все работает, тестеры мамкины...

[VVS]

Если некто не в состоянии адекватно описать проблему, то нечего переводить стрелки на того, кто пытается воспроизвести проблему по Вашему описанию.

Чтобы корректно описать проблему тоже мозги нужны.

[uhf]

Вроде бы одну проблему локализовал.
У меня настроены два DNS - провайдера, и яндексовский (77.88.8.8).
Я с клиента делаю ресолв www.youtube.com. DNS провайдера возвращает пусто, а DNS яндекса - запись с IP. Клиент получает IP, тут все нормально. Но при этом IP не сохраняется в fqdn object-group, соответственно, маршрутизации по домену нет:

Spoiler

<!-- show object-group fqdn -->
    <group>
        <group-name>domain-list0</group-name>
        <enabled>yes</enabled>
        <ipv4-addresses-count>0</ipv4-addresses-count>
        <ipv6-addresses-count>0</ipv6-addresses-count>
        <fqdn-count>2</fqdn-count>
        <entry>
            <fqdn>www.youtube.com</fqdn>
            <type>runtime</type>
            <deadline4>1903</deadline4>
            <deadline6>1891</deadline6>
            <fail-counter4>0</fail-counter4>
            <fail-counter6>0</fail-counter6>
            <last-external>23</last-external>
            <last-list-changed>23</last-list-changed>
            <parent>youtube.com</parent>
            <ipv4/>
            <ipv6/>
        </entry>
        <entry>
            <fqdn>youtube.com</fqdn>
            <type>config</type>
            <deadline4>2147483</deadline4>
            <deadline6>2147483</deadline6>
            <fail-counter4>0</fail-counter4>
            <fail-counter6>0</fail-counter6>
            <last-external>106</last-external>
            <last-list-changed>106</last-list-changed>
            <ipv4/>
            <ipv6/>
        </entry>
        <excluded-ipv4/>
        <excluded-ipv6/>
        <excluded-fqdns/>
        <fqdn-count-runtime>1</fqdn-count-runtime>
    </group>

 

Если оставить только яндексовский DNS, а провайдерский запретить, то тогда IP сохраняется в fqdn object-group, как и ожидается:

    <!-- show object-group fqdn -->
    <group>
        <group-name>domain-list0</group-name>
        <enabled>yes</enabled>
        <ipv4-addresses-count>1</ipv4-addresses-count>
        <ipv6-addresses-count>1</ipv6-addresses-count>
        <fqdn-count>2</fqdn-count>
        <entry>
            <fqdn>www.youtube.com</fqdn>
            <type>runtime</type>
            <deadline4>284</deadline4>
            <deadline6>275</deadline6>
            <fail-counter4>0</fail-counter4>
            <fail-counter6>0</fail-counter6>
            <last-external>19</last-external>
            <last-list-changed>19</last-list-changed>
            <parent>youtube.com</parent>
            <ipv4>
                <address>142.251.1.198</address>
                <ttl>291</ttl>
                <last-updated>19</last-updated>
            </ipv4>
            <ipv6>
                <address>2a00:1450:4010:c02::c6</address>
                <ttl>278</ttl>
                <last-updated>19</last-updated>
            </ipv6>
        </entry>
        <entry>
            <fqdn>youtube.com</fqdn>
            <type>config</type>
            <deadline4>2147483</deadline4>
            <deadline6>2147483</deadline6>
            <fail-counter4>0</fail-counter4>
            <fail-counter6>0</fail-counter6>
            <last-external>70</last-external>
            <last-list-changed>70</last-list-changed>
            <ipv4/>
            <ipv6/>
        </entry>
        <excluded-ipv4/>
        <excluded-ipv6/>
        <excluded-fqdns/>
        <fqdn-count-runtime>1</fqdn-count-runtime>
    </group>

 

Правда, клиенту почему-то в это время доходит другой IP

ping www.youtube.com

Pinging wide-youtube.l.google.com [173.194.220.198] with 32 bytes of data:
Reply from 173.194.220.198: bytes=32 time=89ms TTL=105
Reply from 173.194.220.198: bytes=32 time=89ms TTL=105

Может быть mDNS делает несколько запросов подряд, тут я не разбирался.
Но суть в том, что пустые ответы DNS ломают логику. 
Совсем от провайдерского DNS отказываться не хотелось бы, там у них внутренние домены.

[Racer X]

Оставьте провайдерский только для резолва внутренних доменов и больше ни для чего им не пользуйтесь.
Да и вообще в наше время использовать обычный DNS уже как-то не але. Переходите на DoH или DoT.
Кинетик при наличие DoH или DoT автоматом отключает обычные.

[Racer X]

8 часов назад, VVS сказал:

Чтобы корректно описать проблему тоже мозги нужны.

«Чтобы правильно задать вопрос, нужно знать бо́льшую часть ответа».
:)