Fortigate 基于地址位置 IP 分流+adguardhome 如何实现 DNS 分流？

最近一直在折腾刚买的 Fortigate 防火墙，发现它有基于地理位置的 IP 组。
正好公司的 openwrt 经常出问题（用的 openwrt.ai 定制的 x86 固件，遇到多次重启就恢复默认配置！）   
同事说他固件里面埋了炸弹，在一定时候会触发恢复默认操作。我在 ESXI,PVE,物理机上都遇到过！   
现在的拓扑图如下：   
   
新增两条 SD-WAN 规则，规则 1 ，中国地址走 sd-wan 组（三线），规则 2 ，所有地址走 WAN4.     
以前是没有单独的 DNS 服务器和这个物理软路由的，用的 X86 虚拟机 192.168.1.254 做为软路由和 dns 服务器。   
此次新增一台软路由 openwrt(用 istore 固件，passwall 全局模式科学)   
单独用了一台 linux 做为 dns 服务器，安装了 adguardhome 来处理 DNS 污染和加速问题。   
上游 DNS 那里只添加了国外的 doh 服务器，测试发现 DNS 泄露没了，污染也没了，但是访问某些国内网站特别慢。   
比如 B 站，F12 才发现他全部给我解析的是国外 IP 地址！   
于是又添加了两个国内的 dot 地址，访问 B 站没问题了。      
   
可污染又回来了！！！   
   
Fortigate 的 IP 分流显然不能解决 DNS 污染问题。   
各位有什么好的建议？   
还有我这样操作有没有什么问题？

想 dns 没有污染 必须解决隧道问题，你把软路由作为一个全局翻墙的设备 ，那么我建议你把软路由 openwrt 的 dns 不要关，把他当做一个专门解析国外的 dns
然后在 adguardhome 中设置 upstream_dns_file 配置，默认使用国内 dns 解析，gfwlist 的域名解析上游 dns 设置为 openwrt 的 ip 地址

并发 9 个服务器查询
有必要吗

丢配置的问题可不是埋炸弹，启动的时候可能出现磁盘挂载失败或者 loop0 初始化异常都会丢的

你这配置的相当于没配置，解决 dns 污染要靠社区的 gfwlist ，这些黑名单网站直接走代理请求海外 dns 服务器。

其他黑名单以外的网站，首先用运营商 DNS 解析，如果 ip 地址为国内（这才是你地理位置 ip 组起作用的时候），就采用。
如果返回解析地址为国外，则使用地理位置较近的海外 dns 服务器进行解析，以海外 dns 解析结果为准。

这也会引入俗称的“dns 泄露”，但个人觉得无伤大雅，只要你不是五十万，谁在意你 dns 查询了啥网站。

另外一些个人需求的网站，可以手动往 gfwlist （或同级规则里添加就行了）

Fortigate 订阅贵吗？

passwall 开全局干啥啊
直接绕过大陆 ip 模式
国内的走运营商 dns
国外的走代理不就完事了吗
别折腾 adgurad 什么 smart dns 了

重启就丢配置怎么多半硬盘系统，硬盘年纪太大，或者文件格式什么的问题都有可能

adg 去掉国内 dns ，境外 dns 只选择带 ecs 功能的，然后 启用 edns 子网，edns 自定义地址填省内随便一个 ip

这也太乱了，你知道自己在干什么不？

adguardhome 规则没处理好，按照 https://www.nodeseek.com/post-53701-1 分流下就行了，飞塔那边不用动