Доменная маршрутизация не работает

Доменная маршрутизация не работает, UniFi Network

alsakharov

Guest

09.09.2024 16:46:00

Я пытаюсь настроить политику маршрутизации для некоторых доменов на UDM Pro. Все пакеты для этих доменов должны маршрутизироваться через VPN. Это работает для всего трафика из VLAN, работает для всего трафика для конкретных ПК, но не для доменов. UDM Pro настроен как VPN-клиент для удаленного сервера Wireguard и OpenVPN. Все клиенты используют UDM Pro в качестве DNS-сервера, политика маршрутизации для конкретных доменов не работает. Что может быть не так?

VictorML

Guest

13.10.2025 07:42:00

Нельзя заставить каждого клиента использовать твой DNS-сервер в наши дни. Многие устройства (и даже приложения внутри устройства) сами резолвят DNS или шифруют DNS-запросы от начала до конца, так что ни один посредник (даже твой роутер) их не увидит. Единственный правильный способ решить это — то, что роутеры MikroTik делают уже много лет: добавлять настроенные домены в список адресов, который постоянно резолвится и обновляется роутером до их актуальных IP, а затем применять правила на основе IP назначения. Просто, надежно, безупречно. Но для этого нужно, чтобы интерфейс действительно отнесся к функции серьезно и сделал работу по её внедрению. На данный момент в 2025 году эта функция просто сломана, и, на мой взгляд, это граничит с ложной рекламой со стороны интерфейса. Такая же ситуация с их Wireguard-клиентом: они продолжают анонсировать его как фичу, хотя он не может работать дальше следующего сетевого прыжка, если MTU хоть как-то изменен. Невероятно, учитывая стоимость этих устройств.

111a111sk

Guest

11.10.2025 15:40:00

Я тоже отлаживал эту штуку, и, как уже говорили, целевые клиенты должны использовать шлюз в качестве DNS-сервера. Не понимаю, зачем такое ограничение, если IDS отлично резолвит домены в потоках и без него. Самый лёгкий способ: Settings > Network > {name} > DNS Server: Auto. DHCP-сервер разошлёт клиентам IP шлюза в качестве DNS-сервера. Или можно явно прописать это на клиентах, а то и на самом DHCP-сервере, хотя зачем. А в настройках WAN укажи, какой публичный DNS-сервер должен использовать шлюз.

Saminadmin Guest	#4 08.10.2025 14:06:00 Спасибо за публикацию решения, очень помогло.

SebastianGraser

Guest

11.08.2025 21:46:00

Я наконец-то смог это сделать... использую UDM Pro... самая сбивающая с толку формулировка во всех комментариях, мануалах и инструкциях — это «вам нужно использовать ваш шлюз в качестве DNS»... Что вообще такое шлюз? Шлюз подсети — вот что я думал... в подсети я устанавливаю шлюз в значение «Auto», и DNS в «Auto»... это не работает... заработало, когда я убрал галочку с DNS «Auto» и изменил IP-адрес DNS на шлюз родной сети UDM... В моём примере родная сеть UDM — 192.168.10.0/24; шлюз — 192.168.10.1 Моя подсеть — 10.10.50.0/29, её шлюз — 10.10.50.1

wdipz Guest	#6 10.08.2025 09:53:00 Сделай трассировку маршрута, и сам увидишь.

nieldm

Guest

10.08.2025 08:45:00

Немного дополнительной информации после дополнительного тестирования. Если я смотрю в Insights/Flows, я вижу, что политика работает как ожидалось, смотри вложение Flows. Поэтому я ожидал бы увидеть в логе отражение того факта, что трафик был перенаправлен на Mullvad (моего VPN-провайдера), но я этого не вижу, смотри вложение Log.Я что-то упускаю? Доменная маршрутизация через политику на самом деле работает, но проблема в логировании?

KHT-Admin Guest	#8 10.08.2025 03:36:00 Единственный способ получить подтверждение — открыть тикет в поддержку. https://account.ui.com/requests

nieldm

Guest

09.08.2025 13:23:00

Всё ещё не исправлено в Network 9.4.11. Это очень раздражает: возможность маршрутизировать трафик по настраиваемым политикам — для меня, по крайней мере, одна из ключевых функций софта. Обратите внимание: маршрутизация по подсети IP (xxx.0.0.0/24, а не по полному IP-адресу) тоже до сих пор не починена. Было бы здорово получить хоть какое-то подтверждение от Ubiquiti.

nieldm Guest	#10 01.08.2025 04:53:00 Все мои устройства используют шлюз в качестве DNS-сервера.

fuomag9 Guest	#11 31.07.2025 17:00:00 Я могу подтвердить, что это больше не работает с маршрутизацией на основе доменов, работает с IP-адресами.

wdipz

Guest

#12

28.07.2025 20:49:00

Примечание: сопоставление доменов требует, чтобы клиентские устройства использовали шлюз UniFi в качестве DNS-сервера. Знаю, читать это сложно. Ты можешь обойти это, если сделаешь ручной запрос на самом шлюзе — он заполнит IP-адреса в соответствующих наборах ipsets.

nieldm

Guest

#13

28.07.2025 20:24:00

Единственный тип маршрутизации до VPN, который у меня работает, — это когда я ввожу полный IP-адрес в качестве назначения, то есть я не могу ввести xxx.0.0.0/24, хотя думал, что это должно быть разрешено. Маршрутизация конкретных устройств до VPN тоже работает, стоит добавить. Маршрутизация на основе доменов не работает. Логирование, судя по всему, менее полезно, чем использование вкладки Flows в Insights. Network — 9.3.45.

claytongee Guest	#14 28.07.2025 11:31:00 Not working for me here either on Network 9.3.43

aod Guest	#15 16.06.2025 22:12:00 Я беру свои слова назад. Похоже, это работает, просто оно больше не записывается в системный журнал.

aod Guest	#16 16.06.2025 20:29:00 Использование IP-адреса в качестве назначения тоже не работает. Мне удаётся направить через VPN-соединение только назначение «Любой». Почините как можно скорее!

aod Guest	#17 16.06.2025 20:23:00 Domain routing was working until network update to 9.3.25 and now it no longer works. Please fix.

maks_mov

Guest

#18

29.05.2025 15:52:00

Чистая установка. IP-маршрутизация через VPN-туннель работает, но домен работает только в том случае, если DNS-запрос от клиента сети внутренней зоны в итоге идёт к встроенному DNS-серверу UniFi Gateway, а не к стороннему DNS-серверу. Политическая маршрутизация по доменным именам работает, когда UniFi Gateway выступает в роли DNS-резолвера для клиентов сети:клиент сети внутренней зоны -> DNS-запрос с доменом, который нужно направить через VPN -> DNS-сервер на Gatewayиликлиент сети внутренней зоны -> DNS-запрос с доменом, который нужно направить через VPN -> сторонний DNS-сервер -> DNS-форвард -> DNS-сервер на GatewayНе работает, потому что файрволл UniFi Gateway не знает о разрешённом домене:клиент сети внутренней зоны -> DNS-запрос с доменом, который нужно направить через VPN -> сторонний DNS-серверP.S. Сорри за мой английский...

ekacin Guest	#19 24.04.2025 02:16:00 Не работает и для меня. Использую DoH на UDM-Pro с версией 9.1.119 и 4.2.9

bprolikeme Guest	#20 17.01.2026 23:40:00 Для маршрутизации по конкретным доменам нужно указать DNS-сервер на UniFi Gateway. В моём случае автоопределение DNS-сервера уже отключено, так как я использую Adguard Home, поэтому мне нужно указать IP-адрес Adguard Home. Если вы, как и я, пользуетесь Adguard Home, решение такое: оставьте DNS-сервер, указывающий на Adguard Home, но также настройте Adguard Home так, чтобы для определённых доменов он перенаправлял запросы обратно на UniFi Gateway — как это задумано в UniFi через Upstream DNS-серверы. Пример: добавьте [/домен, который хочу маршрутизировать/]192.168.178.1 в Upstream DNS-серверы в Adguard Home.

Читают тему (гостей: 1)