Přeskočit na obsah
MKController Blog
InstagramYouTubeFacebook

Tutorial

Jak nastavit DNS přes HTTPS (DoH) na

Zabezpečte síť a chraňte se před sledováním ISP nastavením DNS přes HTTPS (DoH) na MikroTik RouterOS v7 s Cloudflare.

MKController4 min read

Shrnutí Chraňte své soukromí při prohlížení internetu pomocí DNS přes HTTPS (DoH) na MikroTik RouterOS v7. Tento komplexní průvodce vás provede instalací certifikátu, konfigurací zabezpečeného resolveru přes Cloudflare a ověřením, že všechny DNS dotazy zůstanou šifrované a skryté před ISP či místními útočníky.

Soukromí již není luxusem, ale nezbytností dnešní digitální doby. Většina směrovačů standardně používá běžné DNS, které přenáší vaše požadavky na weby v nešifrovaném tvaru. To znamená, že váš poskytovatel internetu (ISP) nebo i útočník ve vaší místní Wi-Fi síti může sledovat každou navštívenou doménu. Řešením je DNS přes HTTPS (DoH), které tyto požadavky zašifruje stejným protokolem jako zabezpečené webové prohlížení (HTTPS/TLS).

Implementace DoH na vašem MikroTik routeru zajistí, že “telefonní seznam” internetu zůstane soukromý. Požadavky se místo zranitelného UDP portu 53 přenášejí v zašifrovaném tunelu přes port 443.

Technické předpoklady

Než začnete s konfigurací, zkontrolujte klíčové parametry, aby šifrované připojení fungovalo správně.

1. Přesný systémový čas

Protože DoH závisí na SSL/TLS certifikátech, musí mít router správné datum a čas. Pokud je čas nesprávný, validace certifikátu selže a DNS přestane fungovat.

  • Přejděte na System > Clock a ověřte správnost data a času.
  • Doporučení: Použijte NTP klienta pro automatickou synchronizaci času.

2. Verze RouterOS

Tento návod je určen speciálně pro RouterOS v7. Některé funkce DoH byly dostupné i v novějších v6 verzích, ale v7 přináší potřebnou stabilitu a moderní šifry pro spolehlivé DoH připojení k poskytovatelům jako Cloudflare nebo Google.

Krok 1: Stažení a import certifikátů

Pro ověření identity Cloudflare serveru potřebuje váš MikroTik Root Certificate Authority (CA). Bez něj není možné navázat zabezpečené “handshake” spojení s DNS serverem.

  1. Otevřete Terminál ve WinBoxu.
  2. Použijte příkaz fetch ke stažení Root CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Importujte soubor do úložiště certifikátů routeru:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Ověřte import přes System > Certificates. Certifikát CA by měl být zobrazen jako důvěryhodný.

certificate changed and approved

Krok 2: Konfigurace DoH resolveru

Po instalaci certifikátu můžeme nastavit DNS. Použijeme Cloudflare (1.1.1.1), který patří mezi nejrychlejší a nejvíce soukromí chránící poskytovatele.

  1. Jděte do IP > DNS.
  2. V poli Use DoH Server zadejte URL: https://1.1.1.1/dns-query
  3. Zaškrtněte Verify DoH Certificate. Router tak bude ověřovat importovaný certifikát.
  4. Zkontrolujte, že je povoleno Allow Remote Requests. To dovolí zařízením ve vaší síti využívat MikroTik jako zabezpečený DNS server.
  5. Důležitá údržba: Pro lepší zabezpečení nastavte klientská zařízení, aby používala jako DNS IP adresu MikroTiku místo externích DNS.

dns added and configured

Krok 3: Ověření na klientovi

I když je router nastaven, je třeba potvrdit, že místní zařízení skutečně používají šifrovanou cestu.

  1. Na počítači nastavte DNS na IP adresu MikroTik routeru.
  2. Otevřete prohlížeč a navštivte Cloudflare Help Page.
  3. Počkejte na dokončení testu. V řádku by mělo být: “Using DNS over HTTPS (DoH)” s hodnotou Ano.

check if everything went well on cloudflare site

Řešení problémů a sledování

Pokud se weby nenačítají, sledujte DoH provoz přes MikroTik logy a hledejte chyby handshake nebo časové výpadky.

  • Kontrola logu: Spusťte v terminálu:
    Terminal window
    /log print where message~"doh"
  • Častá chyba: Pokud se objeví “SSL error”, zkontrolujte System > Clock. I pár minutový nesoulad může způsobit neplatnost certifikátu.

Jak pomáhá MKController: Nasazování těchto nastavení a certifikátů do více poboček je výzva. MKController umožňuje hromadně distribuovat DoH konfigurace a Root CA certifikáty do celé vaší sítě. Navíc při expirovaném certifikátu nebo špatném čase na vzdálených zařízeních vás dashboard okamžitě upozorní, abyste předešli výpadkům.

O MKController

Doufáme, že vám tento návod pomohl lépe se orientovat ve světě Mikrotiku a internetu! 🚀
Ať už dolaďujete konfigurace, nebo chcete mít síť pod kontrolou, MKController vám to usnadní.

S centralizovanou cloud správou, automatickými bezpečnostními aktualizacemi a intuitivním ovládáním máme vše, co potřebujete pro upgrade vaší infrastruktury.

👉 Vyzkoušejte zdarma na 3 dny na mkcontroller.com — a zažijte, jak snadné může být řízení sítě.