dns-proxy route: не применяется без перезагрузки, конфликт со статическими маршрутами

[domovoi]

Модель: Keenetic Hopper DSL (KN-3610)
Прошивка: KeeneticOS 5.0.7

Проблема:

При использовании доменной маршрутизации (dns-proxy route object-group) обнаружены три взаимосвязанные проблемы.

1. dns-proxy route не применяется на лету

После добавления или изменения route object-group в секции dns-proxy и выполнения system configuration save — новые маршруты не работают. dns-proxy не создаёт динамические маршруты для доменов из добавленного domain-list. Требуется system reboot.

Воспроизведение:
  dns-proxy
    route object-group domain-list15 Wireguard0
  exit
  system configuration save
  → домены из domain-list15 продолжают маршрутизироваться через default gateway (ISP), а не через Wireguard0. После system reboot — работает.

2. dns-proxy route конфликтует со статическими ip route

Если домен присутствует в domain-list, dns-proxy перехватывает DNS-запрос и назначает маршрут по собственной логике. При этом статический ip route для IP-адреса того же домена игнорируется.

Обратная ситуация тоже не работает: если для domain-list настроен только ip route (без dns-proxy route), dns-proxy всё равно перехватывает DNS-запрос, но маршрутизирует через ISP default, а не через указанный в ip route интерфейс.

3. Рабочая комбинация — только всё вместе + перезагрузка

Единственный надёжный способ маршрутизировать домены через нужный интерфейс:

  1. dns-proxy route object-group domain-listN InterfaceX — для DNS-резолвинга
  2. ip route <subnet> InterfaceX — статические маршруты для IP-подсетей сервиса (на случай DoH/DoT клиентов, обходящих dns-proxy на порту 53)
  3. system reboot — без перезагрузки dns-proxy route не подхватывается

Каждый из этих элементов по отдельности не работает — только все три вместе.

Ожидаемое поведение:

  1. dns-proxy route должен применяться после system configuration save без перезагрузки
  2. dns-proxy route и ip route не должны конфликтовать — dns-proxy route для DNS-резолвинга, ip route для маршрутизации IP-пакетов
  3. Либо документация должна явно описывать необходимость перезагрузки и совместного использования обоих типов маршрутов

Практический контекст:

Эти ограничения критичны при настройке выборочной маршрутизации через VPN (например, отдельные сервисы через WireGuard). Каждое изменение списка доменов требует перезагрузки роутера с потерей связи для всех клиентов.

[Denis P]

18 минут назад, domovoi сказал:

dns-proxy route не применяется на лету

проверяйте из веба

 

17 минут назад, domovoi сказал:

Если домен присутствует в domain-list, dns-proxy перехватывает DNS-запрос и назначает маршрут по собственной логике. При этом статический ip route для IP-адреса того же домена игнорируется.

ожидаемое поведение, приоритет у днс маршрутов