Skip to content
Blog

DNS over HTTPSin (DoH) määrittäminen MikroTik RouterOS v7:ssä

Yhteenveto Suojaa selaus yksityisyytesi ottamalla käyttöön DNS over HTTPS (DoH) MikroTik RouterOS v7:ssa. Tämä kattava opas opastaa sertifikaatin asentamisen, turvallisen ratkaisimien konfiguroinnin Cloudflaren avulla sekä varmistusvaiheet, jotta kaikki DNS-kyselyt pysyvät salattuina ja piilossa ISP:ltä tai paikallisverkon hyökkääjiltä.

DNS over HTTPSin (DoH) määrittäminen MikroTik RouterOS v7:ssä

Yksityisyys ei ole enää ylellisyys digitaalisessa nykymaailmassa, vaan välttämättömyys. Useimmat reitittimet käyttävät oletuksena tavallista DNS:ää, joka lähettää sivustopyyntösi selväkielisinä. Tämä tarkoittaa, että Internet-palveluntarjoajasi (ISP) tai jopa paikallisessa Wi-Fissä istuva hyökkääjä voi seurata jokaista käymääsi verkkotunnusta. Tähän ratkaisu on DNS over HTTPS (DoH), joka salaa nämä pyynnöt samalla protokollalla kuin suojattu verkkoselailu (HTTPS/TLS).

DoH:n käyttöönotto MikroTik-reitittimessäsi varmistaa, että internetin “puhelinluettelo” pysyy yksityisenä. Sen sijaan, että pyynnöt lähetettäisiin haavoittuvan UDP-portin 53 kautta, ne kootaan salattuun tunneliin portin 443 yli.

Tekniset vaatimukset

Ennen asetusten tekemistä on varmistettava tärkeitä kohteita, jotta salattu yhteys ei epäonnistu.

1. Tarkka järjestelmäkello

Koska DoH perustuu SSL/TLS-sertifikaatteihin, reitittimesi kellon on oltava tarkka. Jos kello on väärässä, sertifikaatin validointi epäonnistuu ja DNS lopettaa kokonaan toimintansa.

  • Mene System > Clock ja varmista, että päivämäärä ja aika ovat oikeat.
  • Suositus: Käytä NTP-asiakasta ajan automaattiseen synkronointiin.

2. RouterOS-versio

Tämä opas on tarkoitettu erityisesti RouterOS v7:lle. Vaikka DoH-ominaisuuksia oli myös uudempien v6-versioiden yhteydessä, v7 tarjoaa vakaan ja nykyaikaisen salausmenetelmätuen, joka takaa luotettavat DoH-yhteydet Cloudflaren ja Googlen kaltaisiin palveluihin.

Vaihe 1: Sertifikaattien lataus ja tuonti

Varmistaaksemme, että Cloudflaren palvelin on aito, MikroTik tarvitsee Root Certificate Authority (CA) -sertifikaatin. Ilman sitä reititin ei pysty luomaan suojattua “kättelyä” DNS-palvelimen kanssa.

  1. Avaa WinBoxissa Terminal.
  2. Käytä fetch-komentoa ladataksesi Root CA:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Tuo tiedosto reitittimen sertifikaattivarastoon:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Vahvista tuonti menemällä kohtaan System > Certificates. CA:n tulisi näkyä listassa – tämä tarkoittaa, että reititin nyt luottaa kyseiseen päätepisteeseen.

certificate changed and approved

Vaihe 2: DoH-ratkaisimen määrittäminen

Sertifikaatin ollessa paikoillaan voimme nyt konfiguroida DNS-asetukset. Käytämme Cloudflare (1.1.1.1) -palvelua, koska se on nopea ja keskittyy yksityisyyden suojaan.

  1. Mene IP > DNS.
  2. Kirjoita Use DoH Server -kenttään seuraava URL: https://1.1.1.1/dns-query
  3. Valitse valintaruutu Verify DoH Certificate. Tämä varmistaa, että reititin tarkastaa juuri tuontimme sertifikaatin.
  4. Varmista, että Allow Remote Requests on valittuna. Näin verkon laitteet voivat käyttää MikroTikiä turvallisena DNS-porttina.
  5. Tärkeä siivous: Maksimaalisen turvallisuuden vuoksi ohjaa asiakaslaitteiden DNS-asetukset käyttämään MikroTikin IP-osoitetta ulkoisten osoitteiden sijaan.

dns added and configured

Vaihe 3: Asiakaslaitteiden tarkistus

Vaikka reititin on määritetty, varmista, että paikalliset laitteet todella käyttävät salattua yhteyttä.

  1. Tarkista tietokoneellasi, että DNS on asetettu MikroTik-reitittimen IP-osoitteeseen.
  2. Avaa selain ja mene Cloudflaren ohjesivulle.
  3. Odota testin päättymistä. Tarkista rivi: “Using DNS over HTTPS (DoH)”. Sen tulisi näyttää Yes.

check if everything went well on cloudflare site

Vianmääritys ja valvonta

Jos verkkosivut eivät lataudu, voit seurata DoH-liikennettä MikroTikin lokien kautta kättelyvirheiden tai yhteyden aikakatkaisuongelmien tunnistamiseksi.

  • Lokien tarkistus: Suorita terminaalissa seuraava komento nähdäksesi DoH:tä koskevat tapahtumat:
    Terminal window
    /log print where message~"doh"
  • Yleinen virhe: Jos lokit näyttävät “SSL error”, tarkista System > Clock. Pienikin aikaero voi aiheuttaa sertifikaatin virheellisyyden.

Missä MKController auttaa: Yksityisyysasetusten skaalaminen useisiin toimipisteisiin tai asiakkaiden kohteisiin on iso haaste. MKController mahdollistaa näiden DoH-asetusten ja Root CA -sertifikaattien massajakelun kaikille reitittimillesi. Lisäksi, mikäli sertifikaatti vanhenee tai kellon aika muuttuu etäyksikössä, hallintapaneelimme lähettää välittömästi hälytyksen, jotta voit korjata ongelman ennen verkkoyhteyden menettämistä.

MKControllerista

Toivottavasti yllä olevat vinkit auttoivat sinua hallitsemaan MikroTikiä ja verkkomaailmaasi paremmin! 🚀
Olitpa sitten hienosäätämässä asetuksia tai järjestämässä verkon sekasortoa, MKController tekee elämästäsi helpompaa.

Keskitetyllä pilvihallinnalla, automaattisilla turvallisuuspäivityksillä ja helposti hallittavalla kojelaudalla meillä on työkalut toimintasi parantamiseen.

👉 Aloita ilmainen 3 päivän kokeilu nyt osoitteessa mkcontroller.com — ja näe, miltä vaivaton verkkohallinta todella näyttää.