Zum Inhalt springen
Blog

DNS over HTTPS (DoH) auf MikroTik RouterOS v7 einrichten

Zusammenfassung Schützen Sie Ihre Privatsphäre beim Surfen, indem Sie DNS over HTTPS (DoH) auf MikroTik RouterOS v7 implementieren. Diese umfassende Anleitung führt Sie durch Zertifikatinstallation, sichere Resolver-Konfiguration mit Cloudflare und Verifizierungsschritte, um alle DNS-Abfragen verschlüsselt vor ISPs oder lokalen Angreifern zu verbergen.

DNS over HTTPS (DoH) auf MikroTik RouterOS v7 einrichten

Datenschutz ist in der heutigen digitalen Welt keine Option mehr, sondern eine Notwendigkeit. Standardmäßig verwenden die meisten Router normales DNS, das Website-Anfragen unverschlüsselt überträgt. Das bedeutet, Ihr Internetanbieter (ISP) oder ein Angreifer im WLAN kann jede besuchte Domain einsehen. DNS over HTTPS (DoH) verschlüsselt diese Anfragen über das gleiche Protokoll wie sicheres Surfen im Web (HTTPS/TLS).

Die Implementierung von DoH auf Ihrem MikroTik-Router sorgt dafür, dass das „Telefonbuch“ des Internets privat bleibt. Anstatt Anfragen über den anfälligen UDP-Port 53 zu senden, werden sie über Port 443 in einem verschlüsselten Tunnel übertragen.

Technische Voraussetzungen

Bevor Sie mit der Konfiguration beginnen, sollten Sie folgende Punkte prüfen, damit die verschlüsselte Verbindung stabil bleibt.

1. Korrekte Systemzeit

Da DoH auf SSL/TLS-Zertifikaten basiert, muss die Uhrzeit Ihres Routers stimmen. Ist diese falsch, schlägt die Zertifikatsprüfung fehl und DNS funktioniert nicht mehr.

  • Gehen Sie zu System > Clock und prüfen Sie Datum und Uhrzeit.
  • Empfehlung: Nutzen Sie einen NTP-Client zur automatischen Zeit-Synchronisation.

2. RouterOS-Version

Diese Anleitung gilt speziell für RouterOS v7. Einige DoH-Funktionen existierten auch in neueren v6-Versionen, aber v7 bietet die Stabilität und moderne Verschlüsselung für zuverlässige DoH-Verbindungen zu Anbietern wie Cloudflare oder Google.

Schritt 1: Zertifikate herunterladen und importieren

Damit Ihr MikroTik den Cloudflare-Server sicher identifizieren kann, ist ein Root-Zertifikat erforderlich. Ohne dieses kann keine sichere „Handshake“-Verbindung zum DNS-Server aufgebaut werden.

  1. Öffnen Sie die Terminal-Konsole in WinBox.
  2. Laden Sie das Root-CA-Zertifikat mit folgendem Befehl herunter:
    Terminal-Fenster
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Importieren Sie die Datei in den Zertifikatsspeicher des Routers:
    Terminal-Fenster
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Prüfen Sie unter System > Certificates, ob das Zertifikat angezeigt wird. Damit vertraut Ihr Router nun dem Endpunkt.

certificate changed and approved

Schritt 2: DoH-Resolver konfigurieren

Mit installiertem Zertifikat können nun die DNS-Einstellungen angepasst werden. Wir nutzen Cloudflare (1.1.1.1), einen der schnellsten und datenschutzfreundlichsten Anbieter.

  1. Wechseln Sie zu IP > DNS.
  2. Tragen Sie im Feld Use DoH Server folgende URL ein: https://1.1.1.1/dns-query
  3. Aktivieren Sie die Option Verify DoH Certificate, damit der Router das zuvor importierte Zertifikat prüft.
  4. Stellen Sie sicher, dass Allow Remote Requests aktiviert ist. So können Geräte im Netzwerk den MikroTik als sicheren DNS-Gateway verwenden.
  5. Wichtiger Hinweis: Für maximale Sicherheit sollten die Clients als DNS-Server die IP des MikroTik verwenden, statt externe IPs.

dns added and configured

Schritt 3: Client-Verifikation

Damit auch Ihre Endgeräte den verschlüsselten Weg nutzen, müssen Sie deren DNS-Einstellungen prüfen.

  1. Stellen Sie an Ihrem PC sicher, dass die DNS-Adresse auf die IP Ihres MikroTik-Routers gesetzt ist.
  2. Öffnen Sie den Browser und rufen Sie die Hilfeseite von Cloudflare auf.
  3. Warten Sie auf das Testergebnis. Es sollte der Eintrag „Using DNS over HTTPS (DoH)“ mit dem Wert Ja erscheinen.

check if everything went well on cloudflare site

Fehlerbehebung und Überwachung

Wenn Websites nicht laden, prüfen Sie den DoH-Verkehr über die Routerlogs, um Verbindungsprobleme oder fehlgeschlagene Handshakes zu identifizieren.

  • Log-Prüfung: Führen Sie im Terminal folgenden Befehl aus, um DoH-spezifische Meldungen zu sehen:
    Terminal-Fenster
    /log print where message~"doh"
  • Häufiger Fehler: Bei „SSL error“ kontrollieren Sie die Systemuhr unter System > Clock. Schon wenige Minuten Abweichung führen zu ungültigen Zertifikaten.

Wie MKController unterstützt: Die Verwaltung solcher Datenschutzeinstellungen über mehrere Niederlassungen oder Standorte hinweg ist komplex. MKController ermöglicht das zentrale Ausrollen der DoH-Konfiguration und Root-CA-Zertifikate auf Ihre gesamte Router-Flotte. Zudem alarmiert das Dashboard sofort, falls Zertifikate ablaufen oder Systemuhren auf entfernten Geräten abweichen – so verhindern Sie Ausfälle, bevor Kunden betroffen sind.

Über MKController

Wir hoffen, die obigen Informationen helfen Ihnen, Mikrotik und das Internet besser zu verstehen! 🚀
Egal ob Sie Feinjustierungen vornehmen oder einfach Ordnung ins Netzwerkchaos bringen wollen, MKController macht Ihr Leben leichter.

Mit zentralem Cloud-Management, automatischen Sicherheits-Updates und einem intuitiven Dashboard bieten wir alles, um Ihren Betrieb auf das nächste Level zu heben.

👉 Starten Sie jetzt Ihre kostenlose 3-Tage-Testversion bei mkcontroller.com — und erleben Sie, wie mühelose Netzwerksteuerung wirklich funktioniert.