Zum Inhalt springen
MKController Blog
InstagramYouTubeFacebook

Tutorial

DNS over HTTPS auf MikroTik einrichten

Richten Sie DNS over HTTPS (DoH) auf MikroTik RouterOS v7 mit Cloudflare ein, um DNS-Anfragen zu verschlüsseln und ISP-Überwachung zu blockieren.

MKController4 min read

Zusammenfassung DNS over HTTPS (DoH) auf MikroTik RouterOS v7 verschlüsselt jede DNS-Anfrage, die der Router auflöst, und verbirgt die aufgerufenen Ziele vor dem Provider und vor Angreifern im lokalen Netz. Die Einrichtung besteht aus drei kurzen Schritten: ein Root-CA importieren, IP → DNS auf Cloudflares https://1.1.1.1/dns-query zeigen und den verschlüsselten Pfad von einem Client aus verifizieren. Diese Anleitung führt durch jeden Schritt und liefert die Troubleshooting-Prüfungen, die die beiden häufigsten Fehlerarten erkennen.

Wie funktioniert DNS over HTTPS auf MikroTik?

DNS over HTTPS ist ein Protokoll, das DNS-Lookups in einer normalen HTTPS-Verbindung (Port 443) verpackt, anstatt sie im Klartext über UDP Port 53 zu senden. Auf einem MikroTik-Router bringt RouterOS v7 einen nativen DoH-Client mit: einmal konfiguriert, wird der Router zum einzigen sicheren Resolver für jedes Gerät im LAN, und Provider verlieren die Möglichkeit, DNS-Anfragen pro Domain zu loggen oder zu filtern.

Die Implementierung hat drei bewegliche Teile. Erstens braucht der Router ein Root-CA-Zertifikat, um den TLS-Handshake mit dem DoH-Anbieter zu validieren. Zweitens zeigt das DNS-Subsystem auf eine DoH-URL statt auf einen IPv4-Nameserver. Drittens nutzt jeder Client im LAN den MikroTik selbst als DNS-Server — sonst umgeht der Traffic den verschlüsselten Pfad vollständig.

Voraussetzungen

Zwei Dinge müssen stimmen, damit DoH zuverlässig läuft:

Die Systemuhr muss korrekt sein. TLS-Zertifikate haben Gültigkeitszeiträume; ein Router, dessen Uhr nur wenige Minuten daneben liegt, wird den Handshake ablehnen und DNS hört stillschweigend auf zu funktionieren. Öffnen Sie System → Clock, prüfen Sie Datum und Uhrzeit und aktivieren Sie den NTP-Client zur Synchronisation.

Der Router muss RouterOS v7 laufen lassen. Frühere Versionen hatten teilweise DoH-Unterstützung, ihnen fehlte aber die Cipher-Stabilität für den produktiven Einsatz mit Cloudflare oder Google.

Schritt 1: Root-CA-Zertifikat importieren

Der MikroTik muss der Zertifizierungsstelle vertrauen, die Cloudflares DoH-Endpoint signiert hat. Ohne das scheitert der TLS-Handshake und DoH initialisiert sich nicht.

  1. Öffnen Sie das Terminal in Winbox.

  2. Laden Sie das Root-CA:

    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem

  3. Importieren Sie es in den Zertifikatsspeicher:

    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase=""

  4. Bestätigen Sie unter System → Certificates — das CA sollte in der Liste erscheinen.

MikroTik-Zertifikatsspeicher mit dem importierten Root-CA

Schritt 2: DoH-Resolver konfigurieren

Mit dem vertrauenswürdigen CA zeigen Sie das DNS-Subsystem auf Cloudflare.

  1. Navigieren Sie zu IP → DNS.
  2. Setzen Sie Use DoH Server auf https://1.1.1.1/dns-query.
  3. Aktivieren Sie Verify DoH Certificate — das ist es, was die Verbindung wirklich sicher macht.
  4. Aktivieren Sie Allow Remote Requests, damit LAN-Clients den MikroTik als DNS-Gateway nutzen können.
  5. Optional: Entfernen Sie alte Klartext-Resolver aus der Liste Servers, damit keine Anfrage unverschlüsselt nach draußen geht.
MikroTik IP-DNS-Panel mit DoH-Server-URL und aktivierter Verify-DoH-Certificate-Option

Schritt 3: Verschlüsselten Pfad verifizieren

Der Router nutzt jetzt DoH für seine eigenen Anfragen, aber Sie müssen noch bestätigen, dass die Clients auch wirklich über ihn laufen.

  1. Stellen Sie auf einem LAN-Client das DNS auf die LAN-IP des MikroTik (der DHCP-Push erledigt das in der Regel automatisch, sobald das Router-DNS das einzige angebotene ist).
  2. Öffnen Sie https://1.1.1.1/help im Browser.
  3. Warten Sie auf die Diagnose-Tabelle. Suchen Sie Using DNS over HTTPS (DoH) — es sollte Yes zeigen.
Cloudflare-Hilfeseite bestätigt, dass DNS over HTTPS aktiv ist

Troubleshooting

Wenn eine Site nicht aufgelöst wird, ist die Ursache fast immer eines von zwei Dingen: ein Zeitversatz, der die Zertifikatsvalidierung bricht, oder ein fehlendes Root-CA. Prüfen Sie zuerst das Log:

/log print where message~"doh"

Eine Zeile mit SSL error oder certificate not trusted zeigt auf das Root-CA oder die Uhr. Eine Zeile mit timeout zeigt auf Upstream-Erreichbarkeit — prüfen Sie, ob Ihre WAN 1.1.1.1 auf Port 443 erreicht. Für mehr zum Absichern des Management-Zugangs, während Sie schon in IP → DNS sind, siehe unseren Guide zum Sperren von Traffic nach Land oder das MikroTik-AdList-Filter-Tutorial für mehrschichtigen DNS-Schutz.

Tipps

  • Fixieren Sie die NTP-Quelle auf einen öffentlichen Stratum-1-Server (time.cloudflare.com ist ein guter Standard) — Uhrenversatz ist die mit Abstand häufigste Ursache für DoH-Ausfälle.
  • Deaktivieren Sie etwaige DNS-Forwarder auf den Client-Maschinen (Browser wie Chrome und Firefox haben eigene DoH-Einstellungen), damit die Policy ausschließlich am Router greift.
  • Halten Sie einen Fallback-Resolver-Pfad für den Operator dokumentiert — wenn das Root-CA unerwartet abläuft, verliert das LAN DNS, bis das neue CA importiert ist.

Skalieren Sie das über alle Standorte

DoH auf einem Router einzurichten dauert fünfzehn Minuten. Das gleiche über fünfzig Filialstandorte zu rollen — jeder mit eigenem Uhrenversatz, eigenem Zertifikatszyklus, eigenen schrägen Firewall-Regeln — ist ein ganz anderes Problem.

MKController verteilt dieselbe DoH-Konfiguration und dasselbe Root-CA-Bundle in einer einzigen Operation an jeden MikroTik in Ihrem Bestand. Wenn ein Zertifikat dem Ablauf entgegenrückt oder eine Remote-Uhr aus dem NTP-Schwellenwert herausläuft, schlägt das Dashboard Alarm, bevor Kunden einen DNS-Ausfall bemerken.

Starten Sie Ihre kostenlose MKController-Testphase