Заметил особенность, что с AGH в качестве DNS почему то имена доменов резольвятся в одни адреса, а клиенты подключённые к роутеру в другие.
Если на entware сделать
nslookup domain 8.8.8.8 отдаётся адрес который в правила попало
если nslookup domain localhost отдаётся адрес который на клиентах