ملخص احمِ خصوصية تصفحك بتفعيل DNS عبر HTTPS (DoH) على MikroTik RouterOS v7. يشرح هذا الدليل الشامل تثبيت الشهادة، وإعداد المحلل الآمن باستخدام Cloudflare، وخطوات التحقق لضمان تشفير جميع طلبات DNS وإخفائها من مزود الإنترنت أو المهاجمين في الشبكة المحلية.

كيفية إعداد DNS عبر HTTPS (DoH) على MikroTik RouterOS v7

لم تعد الخصوصية ترفًا في العالم الرقمي الحديث؛ بل صارت ضرورة. بشكل افتراضي، تستخدم معظم أجهزة الراوتر DNS العادي الذي يرسل طلبات المواقع بنص مكشوف. هذا يعني أن مزود خدمة الإنترنت (ISP) أو حتى مهاجم متصل بشبكة Wi-Fi المحلية يمكنه مراقبة كل نطاق تزوره. للحل، يُشفّر DNS عبر HTTPS (DoH) هذه الطلبات مستخدمًا نفس بروتوكول التصفح الآمن (HTTPS/TLS).

تفعيل DoH على راوتر MikroTik يضمن أن “دليل الهاتف” الخاص بالإنترنت يبقى خاصًا. بدلاً من إرسال الطلبات عبر منفذ UDP 53 المعرض لهجوم، تُغلف عبر نفق مشفّر عبر المنفذ 443.

---

المتطلبات التقنية الأساسية

قبل الشروع في التكوين، هناك عناصر مهمة يجب التحقق منها لضمان عدم فشل الاتصال المشفر.

1. توقيت النظام الصحيح

بما أن DoH يعتمد على شهادات SSL/TLS، يجب أن يكون توقيت الراوتر دقيقًا. إذا كان التوقيت خاطئًا، سيفشل التحقق من الشهادة ولن يعمل DNS تمامًا.

• اذهب إلى System > Clock وتأكد من صحة التاريخ والوقت.
• توصية: استخدم عميل NTP لمزامنة الوقت تلقائيًا.

2. إصدار RouterOS

هذا الدليل مخصص لـRouterOS v7. رغم أن بعض ميزات DoH كانت موجودة في الإصدارات المتأخرة من v6، يوفر v7 الاستقرار والدعم اللازمين لتشفير حديث وموثوق مع مقدمي خدمات مثل Cloudflare وGoogle.

---

الخطوة 1: تحميل واستيراد الشهادات

للتحقق من أن خادم Cloudflare هو الجهة الحقيقية، يحتاج MikroTik إلى شهادة سلطة التصديق Root CA. بدونها، لا يستطيع الراوتر إجراء “مصافحة” آمنة مع خادم DNS.

1. افتح النافذة الطرفية (Terminal) في WinBox.
2. استخدم الأمر fetch لتحميل شهادة Root CA:

   /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem

3. استورد الملف إلى مخزن الشهادات في الراوتر:

   /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="

4. تحقق من الاستيراد بالذهاب إلى System > Certificates. يجب أن تظهر شهادة CA، مما يؤكد ثقة الراوتر في نقطة النهاية.

---

الخطوة 2: إعداد محلل DNS عبر HTTPS

بعد تثبيت الشهادة، يمكننا تكوين إعدادات DNS. سنستخدم Cloudflare (1.1.1.1) لأنه من أسرع وأكثر مقدمي الخدمة احترامًا للخصوصية.

1. انتقل إلى IP > DNS.
2. في حقل Use DoH Server، أدخل الرابط التالي: https://1.1.1.1/dns-query
3. فعّل خيار Verify DoH Certificate ليضمن الراوتر التحقق من الشهادة التي استوردناها.
4. تأكد من تحديد Allow Remote Requests للسماح للأجهزة الواقعة في شبكتك باستخدام MikroTik كبوابة DNS المشفرة.
5. تنظيف هام: لأقصى أمان، يجب أن توجه أجهزة العملاء لاستخدام عنوان IP الراوتر كخادم DNS وليس عناوين خارجية.

---

الخطوة 3: التحقق من العميل

حتى لو قام الراوتر بالتكوين، عليك التأكد من أن أجهزتك المحلية تستخدم المسار المشفر فعلًا.

1. على جهاز الكمبيوتر، تأكد من تعيين DNS إلى عنوان IP الخاص براوتر MikroTik.
2. افتح المتصفح وادخل إلى صفحة مساعدة Cloudflare.
3. انتظر انتهاء الاختبار وابحث عن السطر: “Using DNS over HTTPS (DoH)” ويجب أن يظهر نعم.

---

استكشاف الأخطاء والمراقبة

إذا لاحظت أن بعض المواقع لا تفتح، يمكنك مراقبة حركة DoH من خلال سجلات MikroTik لتحديد مشكلات المصافحة أو انتهاء الاتصال.

• فحص السجل: نفذ الأمر التالي في الطرفية لعرض أحداث DoH:

  /log print where message~"doh"

• خطأ شائع: إذا ظهر في السجلات “SSL error”، تحقق مرّة أخرى من System > Clock. حتى تأخر بضع دقائق قد يجعل الشهادة تظهر غير صالحة.

دور MKController: نشر إعدادات الخصوصية هذه عبر فروع متعددة أو مواقع عملاء يمثل تحديًا. يتيح لك MKController دفع تكوينات DoH وشهادات CA الجذرية لجميع أجهزة الراوتر دفعة واحدة. إضافة لذلك، إذا انتهت صلاحية شهادة أو تغير توقيت جهاز عن بُعد، توفر لوحة التحكم تنبيهات فورية لتصحيح المشكلة قبل فقدان الاتصال.

حول MKController

نأمل أن تكون التوجيهات السابقة قد ساعدتك في إدارة عالم Mikrotik والإنترنت بشكل أفضل! 🚀
سواءً كنت تضبط الإعدادات بدقة أو تحاول فقط تنظيم الفوضى الشبكية، فإن MKController موجود لجعل حياتك أسهل.

مع الإدارة السحابية المركزية، وتحديثات الأمان الآلية، ولوحة تحكم سهلة للجميع، لدينا كل ما تحتاجه للارتقاء بعملياتك.

👉 ابدأ تجربة مجانية لمدة 3 أيام الآن على mkcontroller.com — واكتشف كيف يكون التحكم الشبكي بلا جهد.