MikroTik – DNS over HTTPS (DoH)

MikroTik - DNS over HTTPS (DoH)

Вирішив все-таки, протестувати і перевірити цю функцію, яка з'явилась в маршрутизаторах MikroTik нещодавно (з версії прошивки RouterOS 6.47). Спробую пояснити, що це за функція: якщо коротко, то для захисту трафіку DNS, можна відправляти запити DNS через HTTPS (DNS over HTTPS, скорочено DoH), тобто, трафік на DNS піде не через стандартний порт 53/UDP, а на 443 /HTTPS. Відповідно такий трафік буде максимально захищений від атаки посередника або перегляду на проміжному мережевому обладнанні.

Для початку, завантажуємо файл сертифіката, без нього працювати нічого не буде, оскільки з'єднання між клієнтом та сервером захищене шифруванням (я покажу на прикладі DNS від Google та Cloudflare):
Файл сертифіката для Google
Файл сертифіката для Google дзеркало на Mega
Файл сертифіката для Cloudflare
Файл сертифіката для Cloudflare дзеркало на Mega

Warning
Якщо Ви завантажили файл із сайту, його потрібно розархівувати, щоб вийшов файл із розширенням ".pem".

Після цього заходимо на MikroTik, йдемо в "Files" -> натискаємо "Upload" та завантажуємо файл, який скачали.MikroTik - DNS over HTTPS (DoH)

Переходимо в "System" -> "Certificates" -> натискаємо "Import" та у списку вибираємо наш файл, який ми завантажили.MikroTik - DNS over HTTPS (DoH)

Можна зробити імпорт і через консоль:

Для Google:
[admin@MikroTik] > /certificate import file-name=cert_google.pem passphrase=""

Для Cloudflare:
[admin@MikroTik] > /certificate import file-name=cert_cloudflare.pem passphrase=""

Якщо після імпорту у вкладці "Certificates" з'явиться дуже багато рядків після імпорту сертифіката Google або один рядок сертифіката Cloudflare, тож Ви все зробили правильно.

Після цього йдемо налаштовувати сам DNS сервер. Ідемо в "IP" -> "DNS". MikroTik - DNS over HTTPS (DoH)

Відкриється вікно з налаштуваннями DNS сервера.

Warning
І тут дуже важливо, для Google бажано прописати дві адреси їхнього DNS, тому що, в DNS ми будемо вказувати ім'я сервера, а не його IP-адресу, а так як, Google має два сервери (8.8.8.8 і 8.8.4.4), то краще додати обидва. Це можна зробити командами в консолі:

[admin@MikroTik] > /ip dns static add address=8.8.8.8 name=dns.google
[admin@MikroTik] > /ip dns static add address=8.8.4.4 name=dns.google

Для Cloudflare ми будемо вказувати його IP-адресу.

Після цього прописуємо адресу сервера в колонку "Use DoH Server".MikroTik - DNS over HTTPS (DoH)
Для Google: https://dns.google/dns-query
Для Cloudflare: https://1.1.1.1/dns-query
І обов'язково ставимо галочку "Verify DoH Certificate" і не забуваємо натиснути кнопку "Apply", щоб застосувати всі наші зміни. Ці ж дії в консолі:

Для Google:
[admin@MikroTik] > /ip dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yes

Для Cloudflare:
[admin@MikroTik] > /ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

Після всіх наших дій, бажано прибрати решту DNS серверів командою:

[admin@MikroTik] > /ip dns set servers=""

Після цього всі запити на DNS підуть до нового сервера по 443/HTTPS трафіку.

Glory to Ukraine Ukraine vovanella.com © 2021-2024