Para resumir o que foi escrito anteriormente em comentários com mais alguma explicação:
Parece um pouco que suas regras de NAT para o UDP foram quebradas. Uma indicação é a mensagem de erro reply from unexpected source: 1.2.3.4#13731, expected 1.2.3.4#53
e seu rastreio retirado do cliente em que a resposta se parece com dns.example.com.29242 > pc.external.com.43845: UDP, length 95
. A porta de origem para o pacote de resposta deve ser 53, está correta no seu despejo obtido do servidor DNS (onde resolve para domain
para fins de exibição).
Embora alguns resolvedores (especialmente históricos) possam aceitar respostas de DNS de diferentes portas / IPs, a maioria não aceitaria - principalmente devido a razões de segurança para impedir DNS spoofing e ataques de envenenamento de cache .
De qualquer forma, para tráfego UDP NAT sem conexão, seu roteador deve preservar dados de estado do pacote de consulta UDP DNS previamente recebido e mapear novamente a tupla IP: port para o pacote de resposta de volta para 1.2 .3: 53 - o que aparentemente não acontece. Pode ser um erro de configuração ou um bug na maneira como o roteador está manipulando a tabela de estado UDP para casos de encaminhamento de porta - então sua melhor aposta seria abrir um caso com o suporte ao cliente do fabricante (tendo atualizado o código para o mais recente / maior de antemão - é provável que tal problema tenha sido percebido por outros usuários anteriormente e, portanto, provavelmente já esteja corrigido).