Skip to content
Blog

Как да конфигурирате DNS over HTTPS (DoH) на MikroTik RouterOS v7

Резюме Защитете поверителността на сърфирането си чрез прилагане на DNS over HTTPS (DoH) на MikroTik RouterOS v7. Този подробен наръчник ви води през инсталиране на сертификат, конфигуриране на сигурен резолвер с Cloudflare и стъпки за проверка, за да гарантирате, че всички DNS заявки са криптирани и защитени от ISP или локални нападатели.

Как да конфигурирате DNS over HTTPS (DoH) на MikroTik RouterOS v7

Поверителността вече не е лукс в модерната дигитална среда; тя е необходимост. По подразбиране повечето рутери използват стандартен DNS, който предава заявките ви за уебсайтове в обикновен текст. Това означава, че вашият интернет доставчик (ISP) или дори нападател в локалната ви Wi-Fi мрежа може да следи всеки домейн, който посещавате. За да решим това, DNS over HTTPS (DoH) криптира тези заявки, използвайки същия протокол като сигурното уеб сърфиране (HTTPS/TLS).

Изпълнението на DoH на вашия MikroTik рутер гарантира, че „телефонният указател“ на интернет остава частен. Вместо да се изпращат заявки по уязвимия UDP порт 53, те се обвиват в криптиран тунел през порт 443.

Технически изисквания

Преди да преминете към конфигурацията, е важно да проверите някои ключови елементи, за да предотвратите провал на криптираната връзка.

1. Точно системно време

Тъй като DoH разчита на SSL/TLS сертификати, времето на рутера трябва да е правилно. Ако часовникът е неправилен, валидирането на сертификата ще се провали и DNS услугата ви ще спре напълно.

  • Отидете на System > Clock и се уверете, че датата и часът са точни.
  • Препоръка: Използвайте NTP клиент за автоматична синхронизация на времето.

2. Версия на RouterOS

Това ръководство е специално за RouterOS v7. Докато някои DoH функции съществуваха в по-късни версии от v6, v7 предлага стабилност и съвременна поддръжка на шифри, необходими за надеждни DoH връзки с доставчици като Cloudflare и Google.

Стъпка 1: Изтегляне и импорт на сертификати

За да потвърдите, че сървърът на Cloudflare е това, което твърди, вашият MikroTik се нуждае от Root Certificate Authority (CA). Без него рутерът не може да установи сигурно „ръкостискане“ с DNS сървъра.

  1. Отворете Terminal в WinBox.
  2. Използвайте командата fetch за изтегляне на Root CA:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Импортирайте файла в хранилището със сертификати на рутера:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Потвърдете импорта, като отидете в System > Certificates. Трябва да видите CA в списъка, което означава, че рутерът вече доверява тази точка за достъп.

certificate changed and approved

Стъпка 2: Конфигуриране на DoH резолвера

С сертификата на място, можем да конфигурираме DNS настройките. Ще използваме Cloudflare (1.1.1.1), тъй като е един от най-бързите и поверителни доставчици.

  1. Отидете на IP > DNS.
  2. В полето Use DoH Server въведете следния URL: https://1.1.1.1/dns-query
  3. Поставете отметка в Verify DoH Certificate. Това гарантира, че рутерът проверява сертификата, който току-що импортнахме.
  4. Уверете се, че Allow Remote Requests е отметнато. Това позволява на устройствата в мрежата да използват MikroTik като сигурен DNS шлюз.
  5. Критично почистване: За максимална сигурност трябва да насочите клиентските устройства да използват IP адреса на MikroTik като DNS сървър, вместо външни IP адреси.

dns added and configured

Стъпка 3: Проверка от страна на клиента

Дори рутерът да е конфигуриран, трябва да се уверите, че локалните ви устройства използват криптирани пътища.

  1. На вашия компютър задайте DNS адреса да е IP адресът на вашия MikroTik рутер.
  2. Отворете браузър и посетете страницата за помощ на Cloudflare.
  3. Изчакайте теста да завърши. Потърсете реда: “Using DNS over HTTPS (DoH)”. Там трябва да пише Yes.

check if everything went well on cloudflare site

Отстраняване на проблеми и мониторинг

Ако срещнете проблеми с зареждането на сайтове, може да наблюдавате DoH трафика чрез логовете на MikroTik, за да откриете грешки при ръкостискане или изтичане на връзка.

  • Проверка на логове: Изпълнете в терминала следната команда за показване на събития, свързани с DoH:
    Terminal window
    /log print where message~"doh"
  • Честа грешка: Ако в логовете се появява „SSL error“, прегледайте дали часовникът в System > Clock е точен. Разлика от няколко минути може да направи сертификата невалиден.

Къде помага MKController: Масовото разпространение на тези настройки за поверителност в множество офиси или клиенти е сериозно предизвикателство. MKController ви позволява да прилагате тези DoH настройки и Root CA сертификати на всички рутери наведнъж. Освен това, ако сертификатът изтече или часовникът се измести на отдалечено устройство, таблото ни изпраща незабавни предупреждения, за да коригирате проблема преди клиентът да загуби свързване.

За MKController

Надяваме се, че горните насоки ви помогнаха да навигирате по-добре в света на MikroTik и интернет! 🚀
Независимо дали финализирате настройки, или просто се опитвате да внесете ред в мрежовия хаос, MKController е тук, за да ви направи живота по-лесен.

С централизиран облачен мениджмънт, автоматични актуализации за сигурност и табло, което всеки може да овладее, имаме всичко необходимо да подобрим вашата работа.

👉 Започнете безплатен 3-дневен пробен период сега на mkcontroller.com — и вижте как изглежда лесният контрол на мрежата.