各位好，

我在 Proxmox 上搭建了一个 Gateway-VM ，用来做局域网的透明代理。
网关里运行 Clash Meta （ fake-ip 模式） 和 dnsmasq （ DHCP 服务），
NAT 、IP 转发和 TPROXY 都已配置好，除 DNS 以外的流量都能正常走代理。

当前问题：
• Gateway-VM 自己能解析 DNS 。
• 局域网 VM 通过 Clash (TPROXY 劫持) 无法解析域名。
• 如果直接指定公共 DNS （如 8.8.8.8 ），VM 能正常解析。

想请教：
1. Clash Meta + dnsmasq + TPROXY 做 DNS 劫持时，有哪些常见坑？
2. Clash 的 dns.listen 或其他 DNS 配置需要特别注意吗？
3. 有哪些调试方法可以定位 DNS 包为什么没进 Clash ？

非常感谢大家的建议和经验分享