Skip to content
Blog

Kuidas seadistada DNS üle HTTPS (DoH) MikroTik RouterOS v7-s

Kokkuvõte Kaitske oma sirvimise privaatsust, rakendades DNS üle HTTPS (DoH) MikroTik RouterOS v7-s. See põhjalik juhend juhatab teid läbi sertifikaadi paigaldamise, turvalise lahendaja seadistamise Cloudflare’iga ning kontrollimise sammude, et kõik DNS-päringud oleksid krüpteeritud ja ISP-de või kohalike võrgurünnakute eest varjatud.

Kuidas seadistada DNS üle HTTPS (DoH) MikroTik RouterOS v7-s

Privaatsus ei ole tänapäeva digimaailmas luksus, vaid vajadus. Enamasti kasutavad ruuterid vaikimisi tavalist DNS-i, mis edastab teie veebipäringud selges tekstis. See tähendab, et teie interneti teenusepakkuja (ISP) või isegi ründaja kohaliku WiFi võrgu pealt võivad jälgida kõiki teie külastatavaid domeene. Selle lahenduseks krüpteerib DNS üle HTTPS (DoH) need päringud sama protokolliga, mida kasutab turvaline veebisirvimine (HTTPS/TLS).

DoH rakendamine teie MikroTik ruuteris tagab interneti “telefoniraamatu” turvalisuse. Päringute saatmine haavatava UDP pordi 53 kaudu asendub krüpteeritud tunneli kasutamisega pordi 443 kaudu.

Tehnilised eeltingimused

Enne seadistuse alustamist tuleb kontrollida olulisi komponente, mis tagavad, et krüpteeritud ühendus ei ebaõnnestu.

1. Täpne süsteemi kell

Kuna DoH sõltub SSL/TLS sertifikaatidest, peab teie ruuteri aeg olema täpne. Kui kell on vale, nurjub sertifikaadi valideerimine ning DNS lakkab täielikult töötamast.

  • Minge System > Clock ja veenduge, et kuupäev ja aeg on õiged.
  • Soovitus: Kasutage NTP klienti, et hoida aega automaatselt sünkroonis.

2. RouterOS versioon

See juhend on mõeldud spetsiaalselt RouterOS v7 jaoks. Kuigi mõned DoH funktsioonid olid juba hilisemates v6 versioonides, pakub v7 vajaliku stabiilsuse ja kaasaegse krüptimise toe usaldusväärseks DoH ühenduseks Cloudflare’i ja Google’i teenustega.

Samm 1: Sertifikaatide allalaadimine ja importimine

Et kinnitada, et Cloudflare server on tõesti see, kes ta väidab olevat, vajab teie MikroTik juurutunnistust (Root Certificate Authority, CA). Ilma selleta ei suuda ruuter luua turvalist ühendust DNS serveriga.

  1. Avage WinBoxis Terminal.
  2. Kasutage fetch käsku Root CA allalaadimiseks:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Importige fail ruuteri sertifikaatide hulka:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Kontrollige importi menüüst System > Certificates. Peaksite nägema CA-d, mis kinnitab, et ruuter usaldab nüüd selle lõpp-punkti.

certificate changed and approved

Samm 2: DoH lahendaja seadistamine

Sertifikaadi olemasolul saame nüüd konfiguratsiooni teha. Kasutame Cloudflare’i (1.1.1.1), kuna see on üks kiiremaid ja privaatsust tugevalt soosivaid teenusepakkujaid.

  1. Minge menüüsse IP > DNS.
  2. Väljale Use DoH Server sisestage järgmine URL: https://1.1.1.1/dns-query
  3. Märkige ruut Verify DoH Certificate. See tagab, et ruuter kontrollib äsja imporditud sertifikaati.
  4. Kontrollige, et oleks märgitud Allow Remote Requests. See lubab võrgus olevatel seadmetel kasutada MikroTiki kui turvalist DNS väravat.
  5. Oluline puhastus: Maksimaalse turvalisuse huvides seadke kliendiseadmetes DNS serveriks MikroTik IP, mitte välised aadressid.

dns added and configured

Samm 3: Kliendi kontrollimine

Isegi kui ruuter on seadistatud, tuleb veenduda, et teie lokaalsed seadmed kasutavad krüpteeritud ühendust.

  1. Kontol, et teie DNS on seadistatud MikroTik ruuteri IP aadressile.
  2. Avage brauser ja minge Cloudflare’i abilehele.
  3. Oodake testi lõppu. Otsige reale: “Using DNS over HTTPS (DoH)”. Seal peaks olema Jah.

check if everything went well on cloudflare site

Tõrkeotsing ja jälgimine

Kui veebilehed ei laadi, saate DoH liiklust jälgida MikroTik logidest, et leida ühenduse või “handshake” vigu.

  • Logi kontroll: Käivitage terminalis järgmine käsk, et näha DoH-sündmusi:
    Terminal window
    /log print where message~"doh"
  • Tavaline viga: Kui logides ilmub “SSL error”, kontrollige System > Clock kella. Mõne minuti erinevus võib muuta sertifikaadi kehtetuks.

Kuidas MKController abistab: Privaatsusseadete skaleerimine mitmel kontoril või kliendisaitidel on suur väljakutse. MKController võimaldab teil korraga tuua need DoH seaded ja Root CA sertifikaadid kogu ruuterite varale. Lisaks annab meie juhtpaneel viivitamatud teavitused, kui sertifikaat aegub või kell läheb kaugseadmel sassi, et saaksite probleemi enne klientide ühenduse katkemist lahendada.

MKControllerist

Loodame, et need näpunäited aitasid teil Mikrotiku ja Interneti universumit paremini mõista! 🚀
Olgu teie eesmärgiks konfiguratsioonide optimeerimine või võrguhalduse korrastamine, MKController teeb teie elu lihtsamaks.

Keskne pilvehaldus, automatiseeritud turvavärskendused ja kõikidele arusaadav juhtpaneel – meil on tööriistad teie võrgutöös uuele tasemele viimiseks.

👉 Alustage tasuta 3-päevast prooviperioodi aadressil mkcontroller.com ja kogege sujuvat võrguhalduse kontrolli.