Начиная со стабильной версии 6.47 MikroTik поддерживает DNS over HTTPS (DoH).
Далее краткая инструкция по настройке с проверкой сертификата сервера на примере Cloudflare.
1) Импортируем сертификат DigiCert Global Root CA в хранилище сертификатов роутера:
/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem /certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
2) В поле Use DoH Server пишем https://1.1.1.1/dns-query и ставим галку Verify DoH Certificate:
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
3) Убираем все существующие DNS-сервера, чтобы поля Servers и Dynamic Servers (из DHCP Client) были пустыми и все запросы шли через DNS over HTTPS (не обязательно для 6.47.1+).
Проверить корректность настройки можно на странице https://www.cloudflare.com/ssl/encrypted-sni
MikroTik поддерживает DNS over HTTPS (DoH)
Доброй ночи. Не работает, Попробовал на HAP AC2. Не обнаруживает DNS.
Либо настроили неправильно, либо провайдер шалит, причём первое вероятнее.
На моём поднялось.
!!!! первые 2 строки вставляем построчно, остальное можно целиком !!!!
!!!! Если настройки IP от провайдера получаем по DHCP, то нужно будет снять галку напротив пункта Use Peer DNS — иначе при реконнекте вернутся настройки от провайдера !!!!
Для CloudFlare DoH
Проверять можете так же в терминале командой
Ну и смысл дублировать мою инструкцию?
Третий пункт, похоже, лишний: на данный момент если указан сервер DoH, все запросы идут к нему.
Похоже в 6.47.1 это исправили, на прошлой необходимость была.
Рад видеть специалиста 😉
В листе WAN надо что нибудь включать/исключать (Include/Enclude) интерфейсы
если правлю файрвол, dns перестает работать. без этого все поднялось, но первый пункт в проверке не cloudfare не проходит.
Что-то у меня не получается убрать все Dynamic Servers в DNS Setting.
Убрал галку Use Peer DNS в DHCP Client, но Dynamic Servers все равно есть.
На входном интерфейсе WAN тоже убери галочку.
Инструкции из поста автора недостаточно для полной настройки. Firewall тоже необходимо уделить внимание, например изолировать локальный DNS от внешней сети интернет.
Добрый день!
Сделал все согласно инструкции но настранице теста ни internet explorer ни chrome не проходят тест Encrypted SNI.
Эти браузеры его не поддерживают. ESNI (Encrypted SNI) будет работать в Mozilla Firefox.
К сожалению в нем такой же результат.
Просто установить браузер недостаточно. Первая инструкция в поисковике по запросу «Mozilla Firefox ESNI» поможет его настроить.
Если Firefox настраивать как вы говорить, то он и сам в нужном режиме может работать (и работает кстати) без оглядки на то что мы в роутере прописали. А если так то какой смысл возни с роутером? Вот здесь (http://www.opennet.ru/tips/3120_chrome_firefox_dns_doh_https_crypt_privacy.shtml) разбирали подробно этотт вопрос. У меня так то работало, но я думал что можно настроить это всё на роутере, чтобы не заморачиваться настройкой браузеров на каждом устройстве, особенно на планшетах и телефонах.
По инструкции настраивается DNS over HTTPS, а не Encrypted SNI.
всё работало, но через пару дней перестало, отключаешь DOH интернет работает.
у кого так же? провайдер ростелеком начал блокировать это?
У кого отвалился или не работал изначально — добавьте статическую запись для самого DNS-сервера:
/ip dns static
add address=116.202.176.26 name=doh.libredns.gr type=A
Ну или какой там у вас используется
Именно поэтому во втором пункте указан IP-адрес.
Все работает, провайдер МТС
Есть еще такое со скриптом https://telegra.ph/MikroTik-DNS-over-HTTPS-CloudFlare-06-03