Вирішив все-таки, протестувати і перевірити цю функцію, яка з'явилась в маршрутизаторах MikroTik нещодавно (з версії прошивки RouterOS 6.47). Спробую пояснити, що це за функція: якщо коротко, то для захисту трафіку DNS, можна відправляти запити DNS через HTTPS (DNS over HTTPS, скорочено DoH), тобто, трафік на DNS піде не через стандартний порт 53/UDP, а на 443 /HTTPS. Відповідно такий трафік буде максимально захищений від атаки посередника або перегляду на проміжному мережевому обладнанні.
Для початку, завантажуємо файл сертифіката, без нього працювати нічого не буде, оскільки з'єднання між клієнтом та сервером захищене шифруванням (я покажу на прикладі DNS від Google та Cloudflare):
Файл сертифіката для Google
Файл сертифіката для Google дзеркало на Mega
Файл сертифіката для Cloudflare
Файл сертифіката для Cloudflare дзеркало на Mega
Якщо Ви завантажили файл із сайту, його потрібно розархівувати, щоб вийшов файл із розширенням ".pem".
Після цього заходимо на MikroTik, йдемо в "Files" -> натискаємо "Upload" та завантажуємо файл, який скачали.
Переходимо в "System" -> "Certificates" -> натискаємо "Import" та у списку вибираємо наш файл, який ми завантажили.
Можна зробити імпорт і через консоль:
Для Google:
[admin@MikroTik] > /certificate import file-name=cert_google.pem passphrase=""Для Cloudflare:
[admin@MikroTik] > /certificate import file-name=cert_cloudflare.pem passphrase=""
Якщо після імпорту у вкладці "Certificates" з'явиться дуже багато рядків після імпорту сертифіката Google або один рядок сертифіката Cloudflare, тож Ви все зробили правильно.
Після цього йдемо налаштовувати сам DNS сервер. Ідемо в "IP" -> "DNS".
Відкриється вікно з налаштуваннями DNS сервера.
І тут дуже важливо, для Google бажано прописати дві адреси їхнього DNS, тому що, в DNS ми будемо вказувати ім'я сервера, а не його IP-адресу, а так як, Google має два сервери (8.8.8.8 і 8.8.4.4), то краще додати обидва. Це можна зробити командами в консолі:
[admin@MikroTik] > /ip dns static add address=8.8.8.8 name=dns.google
[admin@MikroTik] > /ip dns static add address=8.8.4.4 name=dns.google
Для Cloudflare ми будемо вказувати його IP-адресу.
Після цього прописуємо адресу сервера в колонку "Use DoH Server".
Для Google: https://dns.google/dns-query
Для Cloudflare: https://1.1.1.1/dns-query
І обов'язково ставимо галочку "Verify DoH Certificate" і не забуваємо натиснути кнопку "Apply", щоб застосувати всі наші зміни. Ці ж дії в консолі:
Для Google:
[admin@MikroTik] > /ip dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yesДля Cloudflare:
[admin@MikroTik] > /ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
Після всіх наших дій, бажано прибрати решту DNS серверів командою:
[admin@MikroTik] > /ip dns set servers=""
Після цього всі запити на DNS підуть до нового сервера по 443/HTTPS трафіку.