Акмалов Артур

Mikrotik DNS over HTTPS (DoH)

Основы

Как настроить DNS over HTTPS (DoH) на оборудовании Mikrotik

DNS Queries over HTTPS (DoH)  принятый IETF стандарт RFC8484. Используется для отправки DNS запросов через шифрованный HTTPS для повышения конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS

Работает на прошивках Router OS 6.47 и выше

Установка сертификата

Удобнее всего скачать и установить сертификат сразу с устройства в терминале:

/tool fetch url=https://curl.haxx.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=”” 

Настройка DNS

В качестве DNS HTTPS сервера буду использовать: https://cloudflare-dns.com/dns-query

т.к. он будет единственным сервером необходимо указать его адрес добавляю в static DNS cloudflare-dns.com — 1.1.1.1 или 104.16.248.249

/ip dns static add address=1.1.1.1 name=cloudflare-dns.com type=A
/ip dns static add address=104.16.248.249 name=cloudflare-dns.com type=A

 

Убираю все лишние DNS

Включаю “Verify DoH Certificate”

Включаю “Allow Remote Requests” (Не забыть отключить DNS на внешних портах)

Проверка

Первым делом на устройстве проверяю как отрабатывает DNS в целом в терминале:

:put [resolve ya.ru]  

В ответ должен вывести IP адрес домена.

Далее использую следующие сайты для проверки DNS over HTTPS

Еще один способ проверки DoH на Mikrotik это Tools -> Torch 

Выбрать WAN interface и src.address 1.1.1.1, поставить галочку «Port» и попробовать обратиться к разым доменам. В результате должно отобразится что с все ответы от 1.1.1.1 идут на 443(HTTPS) порту