Начиная со стабильной версии 6.47 MikroTik поддерживает DNS over HTTPS (DoH).
Далее краткая инструкция по настройке с проверкой сертификата сервера на примере Cloudflare.

1) Импортируем сертификат DigiCert Global Root CA в хранилище сертификатов роутера:

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""

2) В поле Use DoH Server пишем https://1.1.1.1/dns-query и ставим галку Verify DoH Certificate:

/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

3) Убираем все существующие DNS-сервера, чтобы поля Servers и Dynamic Servers (из DHCP Client) были пустыми и все запросы шли через DNS over HTTPS (не обязательно для 6.47.1+).

Проверить корректность настройки можно на странице https://www.cloudflare.com/ssl/encrypted-sni

MikroTik поддерживает DNS over HTTPS (DoH)

MikroTik поддерживает DNS over HTTPS (DoH): 21 комментарий

  • 04.06.2020 в 14:27
    Постоянная ссылка

    !!!! первые 2 строки вставляем построчно, остальное можно целиком !!!!
    !!!! Если настройки IP от провайдера получаем по DHCP, то нужно будет снять галку напротив пункта Use Peer DNS — иначе при реконнекте вернутся настройки от провайдера !!!!

    Для CloudFlare DoH

    /tool fetch https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem check-certificate=no dst-path=flash/ 
    /certificate import file-name=flash/DigiCertGlobalRootCA.crt.pem passphrase="" name="DigiCertGlobalRootCA.crt.pem" 
    
    /ip dns set servers="" 
    /ip dns set use-doh-server="https://1.1.1.1/dns-query" verify-doh-cert=yes 
    /ip dns set allow-remote-requests=yes 
    
    /ip firewall nat add chain=dstnat protocol=udp dst-port=53 in-interface-list=!WAN action=redirect place-before=0 comment="redirect dns-query to local DNS"

    Проверять можете так же в терминале командой

    :put [/resolve domain-name=ya.ru]
    Ответить
  • 12.06.2020 в 12:02
    Постоянная ссылка

    Что-то у меня не получается убрать все Dynamic Servers в DNS Setting.
    Убрал галку Use Peer DNS в DHCP Client, но Dynamic Servers все равно есть.

    Ответить
  • 14.06.2020 в 10:58
    Постоянная ссылка

    На входном интерфейсе WAN тоже убери галочку.

    Инструкции из поста автора недостаточно для полной настройки. Firewall тоже необходимо уделить внимание, например изолировать локальный DNS от внешней сети интернет.

    Ответить
  • 20.06.2020 в 10:09
    Постоянная ссылка

    Добрый день!
    Сделал все согласно инструкции но настранице теста ни internet explorer ни chrome не проходят тест Encrypted SNI.

    Ответить
    • 20.06.2020 в 11:11
      Постоянная ссылка

      Просто установить браузер недостаточно. Первая инструкция в поисковике по запросу «Mozilla Firefox ESNI» поможет его настроить.

      Ответить
      • 20.06.2020 в 14:17
        Постоянная ссылка

        Если Firefox настраивать как вы говорить, то он и сам в нужном режиме может работать (и работает кстати) без оглядки на то что мы в роутере прописали. А если так то какой смысл возни с роутером? Вот здесь (http://www.opennet.ru/tips/3120_chrome_firefox_dns_doh_https_crypt_privacy.shtml) разбирали подробно этотт вопрос. У меня так то работало, но я думал что можно настроить это всё на роутере, чтобы не заморачиваться настройкой браузеров на каждом устройстве, особенно на планшетах и телефонах.

        Ответить
  • 18.07.2020 в 10:02
    Постоянная ссылка

    всё работало, но через пару дней перестало, отключаешь DOH интернет работает.

    у кого так же? провайдер ростелеком начал блокировать это?

    Ответить
  • 19.07.2020 в 21:57
    Постоянная ссылка

    У кого отвалился или не работал изначально — добавьте статическую запись для самого DNS-сервера:
    /ip dns static
    add address=116.202.176.26 name=doh.libredns.gr type=A
    Ну или какой там у вас используется

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.