Fortigate 基于地址位置 IP 分流+adguardhome 如何实现 DNS 分流？

最近一直在折腾刚买的 Fortigate 防火墙，发现它有基于地理位置的 IP 组。 正好公司的 openwrt 经常出问题（用的 openwrt.ai 定制的 x86 固件，遇到多次重启就恢复默认配置！）
同事说他固件里面埋了炸弹，在一定时候会触发恢复默认操作。我在 ESXI,PVE,物理机上都遇到过！
现在的拓扑图如下：

新增两条 SD-WAN 规则，规则 1 ，中国地址走 sd-wan 组（三线），规则 2 ，所有地址走 WAN4.
以前是没有单独的 DNS 服务器和这个物理软路由的，用的 X86 虚拟机 192.168.1.254 做为软路由和 dns 服务器。
此次新增一台软路由 openwrt(用 istore 固件，passwall 全局模式科学)
单独用了一台 linux 做为 dns 服务器，安装了 adguardhome 来处理 DNS 污染和加速问题。
上游 DNS 那里只添加了国外的 doh 服务器，测试发现 DNS 泄露没了，污染也没了，但是访问某些国内网站特别慢。
比如 B 站，F12 才发现他全部给我解析的是国外 IP 地址！
于是又添加了两个国内的 dot 地址，访问 B 站没问题了。

可污染又回来了！！！

Fortigate 的 IP 分流显然不能解决 DNS 污染问题。
各位有什么好的建议？
还有我这样操作有没有什么问题？