Новые клиенты сервера openvpn могут пинговать уровень 2, но не уровень 3 (DNS)

Я пытаюсь настроить новый сервер openvpn, и мои клиенты могут подключаться к серверу, пинговать 4.2.2.2, но на уровне 3 (DNS) происходит сбой.

ошибка:

пропинговать google.com
временный сбой в разрешении имени

конфиг сервера:

режим сервера
tls-сервер
порт 1194
прото удп
разработчик тун

ca /etc/openvpn/сервер/ca.crt
сертификат /etc/openvpn/сервер/выдан/server.crt
ключ /etc/openvpn/server/private/server.key
дх /etc/openvpn/сервер/dh.pem

сервер 10.9.8.0 255.255.255.0
ifconfig-pool-persist ipp.txt
поддержка 10 120
comp-lzo # Сжатие - должно быть включено на обоих концах
постоянный ключ
упорный тун
#status /var/log/openvpn-status.log
глагол 1 # подробный режим
пользователь никто
группа
клиент-конфигурация-каталог /etc/openvpn/ccd
клиент-клиент
нажмите "redirect-gateway def1"
нажмите «перенаправление-шлюз в обход-dhcp»
нажмите "маршрут 192.168.1.0 255.255.255.0"
нажмите «dhcp-опция DNS 137.220.63.245»
#push "dhcp-параметр DNS 4.2.2.2"
скрипт-безопасность 2
вверх /etc/openvpn/update-resolv-conf
вниз /etc/openvpn/update-resolv-conf

журнал /var/журнал/openvpn/openvpn.log

IP-таблицы:

root@vultr:~# кошка /etc/iptables/rules.v4 
# Сгенерировано iptables-save v1.8.7 в среду, 16 июня, 04:19:35 2021
* калечить
: ПРЕДВАРИТЕЛЬНОЕ ПРИНЯТИЕ [2774:359035]
:ВВОД ПРИНЯТЬ [1375:169341]
:ВПЕРЕД ПРИНЯТЬ [1396:189514]
: ВЫВОД ПРИНЯТ [629:154223]
:ОТПРАВКА ПРИНЯТИЯ [2025:343737]
СОВЕРШИТЬ
# Завершено ср 16 июня 04:19:35 2021
# Сгенерировано iptables-save v1.8.7 в среду, 16 июня, 04:19:35 2021
*фильтр
:ВВОД ПРИНЯТЬ [1375:169341]
:ВПЕРЕД ПРИНЯТЬ [1396:189514]
: ВЫВОД ПРИНЯТ [629:154223]
СОВЕРШИТЬ
# Завершено ср 16 июня 04:19:35 2021
# Сгенерировано iptables-save v1.8.7 в среду, 16 июня, 04:19:35 2021
*натуральный
: ПРЕДВАРИТЕЛЬНОЕ ПРИНЯТИЕ [93:6515]
:ВВОД ПРИНЯТЬ [19:1048]
: ВЫВОД ПРИНЯТЬ [1:76]
:ОТПРАВКА ПРИНЯТИЯ [0:0]
-A ПОСТРОЕНИЕ -o enp1s0 -j ​​МАСКАРАД
СОВЕРШИТЬ
# Завершено ср 16 июня 04:19:35 2021

конфиг клиента:

root@hvm-debian01:/etc/openvpn# cat /etc/openvpn/client.conf
клиент
удаленный 1.1.1.1
разработчик тун
ни к чему
tls-клиент
сертификат /etc/openvpn/client2.crt
ключ /etc/openvpn/client2.key
ca /etc/openvpn/ca.crt
комп-льзо
глагол 5
пинг-перезагрузка 60
журнал /var/журнал/openvpn/openvpn.log

Как заставить openvpn поддерживать DNS для моих клиентов?

systemctl перезапустить systemd-resolved

не помогает

При подключении мой

/etc/resolv.conf

вроде корректно обновляется.

root@hvm-debian01:/etc/openvpn# cat /etc/resolv.conf
# Динамический файл resolv.conf(5) для распознавателя glibc(3), сгенерированный resolvconf(8)
# НЕ РЕДАКТИРУЙТЕ ЭТОТ ФАЙЛ ВРУЧНУЮ - ВАШИ ИЗМЕНЕНИЯ БУДУТ ПЕРЕЗАПИСЫВАТЬСЯ
сервер имен 137.220.63.245
сервер имен 192.168.1.1

Изменение push-DNS с 137.220.63.245 на 4.2.2.2 устранило проблему.

копать google.com. @137.220.63.245

от клиента выявил проблему.