Начиная с версии 6.47 MikroTik поддерживает DNS over HTTPS (DoH).
Далее краткая инструкция по настройке на примере Cloudflare.
1) Импортируем корневой сертификат в хранилище роутера:
/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem /certificate import file-name=DigiCertGlobalRootG2.crt.pem passphrase=""
2) Устанавливаем следующие настройки для работы DoH:
/ip dns set use-doh-server=https://cloudflare-dns.com/dns-query \ allow-remote-requests=yes servers=1.1.1.1 verify-doh-cert=yes
Проверить корректность настройки можно здесь — https://1.1.1.1/help
MikroTik поддерживает DNS over HTTPS (DoH)
Доброй ночи. Не работает, Попробовал на HAP AC2. Не обнаруживает DNS.
Либо настроили неправильно, либо провайдер шалит, причём первое вероятнее.
На моём поднялось.
!!!! первые 2 строки вставляем построчно, остальное можно целиком !!!!
!!!! Если настройки IP от провайдера получаем по DHCP, то нужно будет снять галку напротив пункта Use Peer DNS — иначе при реконнекте вернутся настройки от провайдера !!!!
Для CloudFlare DoH
Проверять можете так же в терминале командой
Ну и смысл дублировать мою инструкцию?
Третий пункт, похоже, лишний: на данный момент если указан сервер DoH, все запросы идут к нему.
Похоже в 6.47.1 это исправили, на прошлой необходимость была.
Рад видеть специалиста 😉
В листе WAN надо что нибудь включать/исключать (Include/Enclude) интерфейсы
если правлю файрвол, dns перестает работать. без этого все поднялось, но первый пункт в проверке не cloudfare не проходит.
Что-то у меня не получается убрать все Dynamic Servers в DNS Setting.
Убрал галку Use Peer DNS в DHCP Client, но Dynamic Servers все равно есть.
На входном интерфейсе WAN тоже убери галочку.
Инструкции из поста автора недостаточно для полной настройки. Firewall тоже необходимо уделить внимание, например изолировать локальный DNS от внешней сети интернет.
Добрый день!
Сделал все согласно инструкции но настранице теста ни internet explorer ни chrome не проходят тест Encrypted SNI.
Эти браузеры его не поддерживают. ESNI (Encrypted SNI) будет работать в Mozilla Firefox.
К сожалению в нем такой же результат.
Просто установить браузер недостаточно. Первая инструкция в поисковике по запросу «Mozilla Firefox ESNI» поможет его настроить.
Если Firefox настраивать как вы говорить, то он и сам в нужном режиме может работать (и работает кстати) без оглядки на то что мы в роутере прописали. А если так то какой смысл возни с роутером? Вот здесь (http://www.opennet.ru/tips/3120_chrome_firefox_dns_doh_https_crypt_privacy.shtml) разбирали подробно этотт вопрос. У меня так то работало, но я думал что можно настроить это всё на роутере, чтобы не заморачиваться настройкой браузеров на каждом устройстве, особенно на планшетах и телефонах.
По инструкции настраивается DNS over HTTPS, а не Encrypted SNI.
всё работало, но через пару дней перестало, отключаешь DOH интернет работает.
у кого так же? провайдер ростелеком начал блокировать это?
У кого отвалился или не работал изначально — добавьте статическую запись для самого DNS-сервера:
/ip dns static
add address=116.202.176.26 name=doh.libredns.gr type=A
Ну или какой там у вас используется
Именно поэтому во втором пункте указан IP-адрес.
Все работает, провайдер МТС
Есть еще такое со скриптом https://telegra.ph/MikroTik-DNS-over-HTTPS-CloudFlare-06-03