Не костыляя дроп аутпутов

И не ждя таймаута

Забанить фаером исходящие по интерфейсу/IP.
Оно после первого fail должно перестать туда стучаться и продолжит пользоваться по списку..
Хотя я ovpn давно изжил и с ним надо проверять.

Ну вот, второе подтверждение, что раньше днсы рандомно перебирались, потому что такой способ точно не работал. Принял, спасибо за новости

dstNAToм

dstnat-ом ЛОКАЛЬНО ПОРОЖДЕННЫ исходящий трафик не завернуть. См packet flow

Да не, не в этом дело. А что даже если заблочить, туда он всё равно стучался иногда и ждал таймаута, а мне это не надо было

Не дочитался. Думал о юзерах. Локальный, конечно нет.

@cloudbuilder Тогда ждать 6,47. Там это уже возможно.

Спасибо, но у меня уже и dns-over-tls нет, и ovpn-клиент выключен, наигрался

А dpi иначе обхожу

Не актуально короче

Просто интересно было

Проверяется и побеждается легко.
1. делаем правило
ip fi fi add chain=output protocol=udp dst-port=53 action=log
2. редактируем список
Ip DNS servers. Первым ставим фейковый IP где точно нет dns-сервера.
3. С консоли микротика пингуем несколько сайтов на которые прежде не обращались (чтоб не попасть в кэш)
В итоге в логе видим ОДИН пакет-запрос к первому несуществующему фейковому серверу. Остальные пакеты-запросы пойдут ко второму, реально работающему.
Первого микротик уже опрашивать не будет.

Я не спорю что сейчас так, верю на слово)

Так и я не с целью поспорить, а с целью дать методу. Нас еще другие участники группы читают.

Для развития более наглядно наверное все-таки packet sniffer и streaming будет

Будет, если дойдет очередной круг раунд робина. Но этим, по сути, можно пренебречь.

Нельзя-таки, т.к. придется ждать таймаут

Это не столь важно, поскольку, чтобы это случилось надо чтобы отказала вся цепочка тех, что считаются работающими. Так что таймаут "потеряется" на фоне их таймаутов.