Saltar al contingut
Blog

Com Configurar DNS sobre HTTPS (DoH) a MikroTik RouterOS v7

Resum Protegeix la teva privadesa en la navegació implementant DNS sobre HTTPS (DoH) a MikroTik RouterOS v7. Aquesta guia completa t’explica la instal·lació de certificats, la configuració del resolutor segur amb Cloudflare i els passos de verificació per assegurar que totes les consultes DNS estiguin xifrades i ocultes als ISP o atacants de xarxa local.

Com Configurar DNS sobre HTTPS (DoH) a MikroTik RouterOS v7

La privadesa ja no és un luxe en l’entorn digital actual; és una necessitat. Per defecte, la majoria de routers utilitzen DNS estàndard, que transmet les peticions dels llocs web en text pla. Això significa que el teu proveïdor d’Internet (ISP), o fins i tot un atacant connectat a la teva Wi-Fi local, pot monitoritzar tots els dominis que visites. Per solucionar-ho, DNS sobre HTTPS (DoH) xifra aquestes peticions utilitzant el mateix protocol que la navegació web segura (HTTPS/TLS).

Implementar DoH al teu router MikroTik garanteix que la “llista d’adreces” d’Internet es mantingui privada. En lloc d’enviar les consultes pel vulnerable port UDP 53, es transmeten dins un túnel xifrat via el port 443.

Requisits Tècnics

Abans de començar la configuració, has de verificar alguns elements crítics per assegurar que la connexió xifrada no falli.

1. Rellotge del Sistema Precís

Com que DoH depèn de certificats SSL/TLS, l’hora del router ha de ser correcta. Si el rellotge està equivocat, la validació del certificat fallarà i el DNS deixarà de funcionar completament.

  • Ves a System > Clock i comprova que la data i l’hora siguin precises.
  • Recomanació: Utilitza un client NTP per mantenir l’hora sincronitzada automàticament.

2. Versió de RouterOS

Aquesta guia és específicament per a RouterOS v7. Tot i que algunes funcions DoH existien en versions avançades de la v6, la v7 ofereix estabilitat i suport per xifrats moderns necessaris per connexions DoH fiables amb proveïdors com Cloudflare i Google.

Pas 1: Descàrrega i Importació de Certificats

Per verificar que el servidor Cloudflare és qui diu ser, el teu MikroTik necessita un certificat d’Autoritat Arrel (CA). Sense això, el router no podrà establir un “apretón de mà” segur amb el servidor DNS.

  1. Obre el Terminal a WinBox.
  2. Utilitza la comanda fetch per descarregar el Root CA:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Importa el fitxer a l’emmagatzematge de certificats del router:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Confirma la importació a System > Certificates. Hauries de veure la CA llistada, confirmant que ara el router confia en aquest punt final.

certificate changed and approved

Pas 2: Configuració del Resolutor DoH

Amb el certificat instal·lat, ara podem configurar el DNS. Farem servir Cloudflare (1.1.1.1), un dels proveïdors més ràpids i respectuosos amb la privadesa.

  1. Ves a IP > DNS.
  2. Al camp Use DoH Server, introdueix aquesta URL: https://1.1.1.1/dns-query
  3. Marca la casella Verify DoH Certificate. Això assegura que el router comprovi el certificat que acabem d’importar.
  4. Assegura’t que Allow Remote Requests estigui activat. Això permet als dispositius de la teva xarxa utilitzar el MikroTik com a passerella DNS segura.
  5. Neteja crítica: Per la màxima seguretat, has d’apuntar els dispositius clients a utilitzar la IP del MikroTik com a servidor DNS, en lloc d’IPs externes.

dns added and configured

Pas 3: Verificació del Client

Encara que el router estigui configurat, cal assegurar que els dispositius locals fan servir realment la ruta xifrada.

  1. Al teu ordinador, comprova que el DNS està configurat amb la IP del teu router MikroTik.
  2. Obre el navegador i visita la pàgina d’ajuda de Cloudflare.
  3. Espera que acabi la prova. Busca la línia: “Using DNS over HTTPS (DoH)”. Ha de mostrar un .

check if everything went well on cloudflare site

Resolució de problemes i Monitoratge

Si tens problemes i no es carreguen les webs, pots monitorar el trànsit DoH als logs del MikroTik per identificar errors en el handshake o temps d’espera de connexió.

  • Comprovar logs: Executa la següent comanda al terminal per veure esdeveniments específics de DoH:
    Terminal window
    /log print where message~"doh"
  • Error comú: Si els logs mostren “SSL error”, verifica de nou System > Clock. Un desfasament de pocs minuts pot invalidar el certificat.

On ajuda MKController: Escalar aquestes configuracions de privadesa a múltiples sucursals o clients és un repte. MKController permet desplegar aquestes configuracions DoH i certificats Root CA a tot el parc de routers d’una sola vegada. A més, si un certificat caduca o el rellotge es desconfigura en un equip remot, el nostre panell envia alertes immediates per solucionar-ho abans que el client perdi connexió.

Sobre MKController

Esperem que les indicacions anteriors t’hagin ajudat a manejar millor el teu univers Mikrotik i Internet! 🚀
Tant si ajustes configuracions com si només vols posar ordre al caos de la xarxa, MKController està aquí per fer-te la vida més fàcil.

Amb gestió centralitzada en núvol, actualitzacions automàtiques de seguretat i un panell intuïtiu per a tothom, tenim tot el necessari per millorar la teva operativa.

👉 Prova gratuïta de 3 dies ara a mkcontroller.com — i descobreix el que significa un control de xarxa sense esforços.