Saltearse al contenido
MKController Blog
InstagramYouTubeFacebook

Tutorial

Guía de DNS over HTTPS en MikroTik

Configura DNS over HTTPS (DoH) en MikroTik RouterOS v7 con Cloudflare para cifrar las consultas DNS y bloquear el espionaje del ISP.

MKController5 min read

Resumen DNS over HTTPS (DoH) en MikroTik RouterOS v7 cifra cada consulta DNS que el router resuelve, ocultando los destinos de navegación a tu ISP y a cualquier atacante en la red local. La configuración son tres pasos cortos: importar un Root CA, apuntar IP → DNS al https://1.1.1.1/dns-query de Cloudflare y verificar la ruta cifrada desde un cliente. Esta guía recorre cada paso junto con las comprobaciones de troubleshooting que detectan los dos modos de fallo más habituales.

¿Cómo funciona DNS over HTTPS en MikroTik?

DNS over HTTPS es un protocolo que envuelve las consultas DNS dentro de una conexión HTTPS estándar (puerto 443) en lugar de enviarlas en texto plano por el puerto UDP 53. En un router MikroTik, RouterOS v7 incluye un cliente DoH nativo: una vez configurado, el router se convierte en el único resolutor seguro para todos los dispositivos de la LAN, y los ISP pierden la capacidad de registrar o filtrar consultas DNS por dominio.

La implementación tiene tres piezas en movimiento. Primero, el router necesita un certificado Root CA para validar el handshake TLS con el proveedor DoH. Segundo, el subsistema DNS apunta a una URL DoH en lugar de a un nameserver IPv4. Tercero, cada cliente de la LAN usa al propio MikroTik como su servidor DNS — de lo contrario, el tráfico evita por completo la ruta cifrada.

Requisitos previos

Dos cosas deben cumplirse para que DoH funcione de manera fiable:

El reloj del sistema debe ser exacto. Los certificados TLS llevan ventanas de validez; un router cuyo reloj esté desfasado solo unos minutos rechazará el handshake y el DNS dejará silenciosamente de resolver. Abre System → Clock, verifica fecha y hora y habilita el cliente NTP para mantenerlo sincronizado.

El router debe ejecutar RouterOS v7. Las versiones anteriores tenían soporte parcial de DoH pero carecían de la estabilidad de cifrado necesaria para uso en producción con Cloudflare o Google.

Paso 1: Importar el certificado Root CA

El MikroTik necesita confiar en la autoridad certificadora que firmó el endpoint DoH de Cloudflare. Sin esto, el handshake TLS falla y DoH no se inicializará.

  1. Abre el Terminal en Winbox.

  2. Descarga el Root CA:

    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem

  3. Impórtalo en el almacén de certificados:

    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase=""

  4. Confirma en System → Certificates — el CA debe aparecer en la lista.

Almacén de certificados del MikroTik mostrando el Root CA importado

Paso 2: Configurar el resolutor DoH

Con el CA en confianza, apunta el subsistema DNS a Cloudflare.

  1. Navega a IP → DNS.
  2. Establece Use DoH Server como https://1.1.1.1/dns-query.
  3. Marca Verify DoH Certificate — es lo que hace que la conexión sea realmente segura.
  4. Marca Allow Remote Requests para que los clientes de la LAN puedan usar el MikroTik como pasarela DNS.
  5. Opcionalmente, limpia cualquier resolutor heredado en texto plano de la lista Servers para asegurarte de que ninguna consulta se filtra sin cifrar.
Panel IP DNS de MikroTik con URL del servidor DoH y Verify DoH Certificate habilitado

Paso 3: Verificar la ruta cifrada

El router ya usa DoH para sus propias consultas, pero aún hay que confirmar que los clientes pasan por él.

  1. En un cliente de la LAN, configura el DNS a la IP de LAN del MikroTik (el push del DHCP suele encargarse de esto automáticamente cuando el DNS del router es el único ofrecido).
  2. Abre https://1.1.1.1/help en un navegador.
  3. Espera a la tabla de diagnóstico. Busca Using DNS over HTTPS (DoH) — debe mostrar Yes.
Página de help de Cloudflare confirmando que DNS over HTTPS está activo

Troubleshooting

Si un sitio no resuelve, el problema casi siempre es una de dos cosas: una deriva del reloj que rompe la validación del certificado, o un Root CA ausente. Inspecciona el log primero:

/log print where message~"doh"

Una línea con SSL error o certificate not trusted apunta al Root CA o al reloj. Una línea con timeout apunta a la alcanzabilidad del upstream — verifica que tu WAN puede llegar a 1.1.1.1 por el puerto 443. Para más sobre asegurar el acceso de gestión mientras estás en IP → DNS, consulta nuestra guía sobre bloqueo de tráfico por país o el tutorial de filtrado AdList en MikroTik para protección DNS por capas.

Consejos

  • Fija la fuente NTP a un servidor stratum-1 público (time.cloudflare.com es un buen valor por defecto) — la deriva del reloj es la causa única más común de caídas de DoH.
  • Desactiva cualquier forwarder DNS en las máquinas cliente (navegadores como Chrome y Firefox tienen sus propios ajustes de DoH) para que la política se imponga solo en el router.
  • Mantén documentada una ruta alternativa de resolutor para el operador — si el Root CA expira de forma inesperada, la LAN perderá DNS hasta que se importe el nuevo CA.

Escala esto en cada sede

Configurar DoH en un router lleva quince minutos. Hacerlo en cincuenta sedes — cada una con su propia deriva de reloj, su propio ciclo de renovación de certificado, sus propias reglas de firewall raras — es un problema diferente del todo.

MKController distribuye la misma configuración DoH y el mismo bundle de Root CA a cada MikroTik de tu inventario en una sola operación. Cuando un certificado se acerca a su caducidad o un reloj remoto empieza a desfasarse fuera del umbral del NTP, el panel te avisa antes de que los clientes noten una caída de DNS.

Inicia tu prueba gratuita de MKController