Начиная со стабильной версии 6.47 MikroTik поддерживает DNS over HTTPS (DoH).
Далее краткая инструкция по настройке с проверкой сертификата сервера на примере Cloudflare.

1) Импортируем сертификат DigiCert Global Root CA в хранилище сертификатов роутера:

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""

2) В поле Use DoH Server пишем https://1.1.1.1/dns-query и ставим галку Verify DoH Certificate:

/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

3) Убираем все существующие DNS-сервера, чтобы поля Servers и Dynamic Servers (из DHCP Client) были пустыми и все запросы шли через DNS over HTTPS (не обязательно для 6.47.1+).

Проверить корректность настройки можно на странице https://www.cloudflare.com/ssl/encrypted-sni

MikroTik поддерживает DNS over HTTPS (DoH)

36 мыслей о “MikroTik поддерживает DNS over HTTPS (DoH)

  • 04.06.2020 в 14:27
    Постоянная ссылка

    !!!! первые 2 строки вставляем построчно, остальное можно целиком !!!!
    !!!! Если настройки IP от провайдера получаем по DHCP, то нужно будет снять галку напротив пункта Use Peer DNS — иначе при реконнекте вернутся настройки от провайдера !!!!

    Для CloudFlare DoH

    /tool fetch https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem check-certificate=no dst-path=flash/ 
    /certificate import file-name=flash/DigiCertGlobalRootCA.crt.pem passphrase="" name="DigiCertGlobalRootCA.crt.pem" 
    
    /ip dns set servers="" 
    /ip dns set use-doh-server="https://1.1.1.1/dns-query" verify-doh-cert=yes 
    /ip dns set allow-remote-requests=yes 
    
    /ip firewall nat add chain=dstnat protocol=udp dst-port=53 in-interface-list=!WAN action=redirect place-before=0 comment="redirect dns-query to local DNS"

    Проверять можете так же в терминале командой

    :put [/resolve domain-name=ya.ru]
    Ответ
    • 18.07.2020 в 17:03
      Постоянная ссылка

      Третий пункт, похоже, лишний: на данный момент если указан сервер DoH, все запросы идут к нему.

      Ответ
      • 18.07.2020 в 17:12
        Постоянная ссылка

        Похоже в 6.47.1 это исправили, на прошлой необходимость была.
        Рад видеть специалиста 😉

        Ответ
    • 13.02.2021 в 15:23
      Постоянная ссылка

      если правлю файрвол, dns перестает работать. без этого все поднялось, но первый пункт в проверке не cloudfare не проходит.

      Ответ
  • 12.06.2020 в 12:02
    Постоянная ссылка

    Что-то у меня не получается убрать все Dynamic Servers в DNS Setting.
    Убрал галку Use Peer DNS в DHCP Client, но Dynamic Servers все равно есть.

    Ответ
  • 14.06.2020 в 10:58
    Постоянная ссылка

    На входном интерфейсе WAN тоже убери галочку.

    Инструкции из поста автора недостаточно для полной настройки. Firewall тоже необходимо уделить внимание, например изолировать локальный DNS от внешней сети интернет.

    Ответ
  • 20.06.2020 в 10:09
    Постоянная ссылка

    Добрый день!
    Сделал все согласно инструкции но настранице теста ни internet explorer ни chrome не проходят тест Encrypted SNI.

    Ответ
    • 20.06.2020 в 11:11
      Постоянная ссылка

      Просто установить браузер недостаточно. Первая инструкция в поисковике по запросу «Mozilla Firefox ESNI» поможет его настроить.

      Ответ
      • 20.06.2020 в 14:17
        Постоянная ссылка

        Если Firefox настраивать как вы говорить, то он и сам в нужном режиме может работать (и работает кстати) без оглядки на то что мы в роутере прописали. А если так то какой смысл возни с роутером? Вот здесь (http://www.opennet.ru/tips/3120_chrome_firefox_dns_doh_https_crypt_privacy.shtml) разбирали подробно этотт вопрос. У меня так то работало, но я думал что можно настроить это всё на роутере, чтобы не заморачиваться настройкой браузеров на каждом устройстве, особенно на планшетах и телефонах.

        Ответ
  • 18.07.2020 в 10:02
    Постоянная ссылка

    всё работало, но через пару дней перестало, отключаешь DOH интернет работает.

    у кого так же? провайдер ростелеком начал блокировать это?

    Ответ
  • 19.07.2020 в 21:57
    Постоянная ссылка

    У кого отвалился или не работал изначально — добавьте статическую запись для самого DNS-сервера:
    /ip dns static
    add address=116.202.176.26 name=doh.libredns.gr type=A
    Ну или какой там у вас используется

    Ответ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания применять.