Aller au contenu
Blog

Configurer DNS over HTTPS (DoH) sur MikroTik RouterOS v7

Résumé Protégez votre confidentialité de navigation en mettant en place DNS over HTTPS (DoH) sur MikroTik RouterOS v7. Ce guide complet vous guide pour l’installation des certificats, la configuration sécurisée du résolveur avec Cloudflare, et les étapes de vérification pour garantir que toutes les requêtes DNS restent chiffrées et invisibles des FAI ou attaquants du réseau local.

Configurer DNS over HTTPS (DoH) sur MikroTik RouterOS v7

La confidentialité n’est plus un luxe dans le paysage numérique actuel; c’est une nécessité. Par défaut, la plupart des routeurs utilisent le DNS standard, qui transmet vos requêtes web en clair. Cela signifie que votre Fournisseur d’Accès Internet (FAI), ou même un attaquant sur votre réseau Wi-Fi local, peut surveiller chaque domaine que vous visitez. Pour remédier à cela, DNS over HTTPS (DoH) chiffre ces requêtes en utilisant le même protocole que la navigation web sécurisée (HTTPS/TLS).

Mettre en œuvre DoH sur votre routeur MikroTik garantit que l’« annuaire » d’internet reste privé. Au lieu d’envoyer des requêtes via le port UDP 53 vulnérable, elles sont encapsulées dans un tunnel chiffré via le port 443.

Prérequis techniques

Avant de commencer la configuration, il y a des éléments importants à vérifier pour garantir la réussite de la connexion chiffrée.

1. Horloge système précise

Puisque DoH repose sur des certificats SSL/TLS, l’horloge de votre routeur doit être exacte. Si l’heure est fausse, la validation du certificat échouera et votre DNS cessera de fonctionner totalement.

  • Allez dans System > Clock et assurez-vous que la date et l’heure sont correctes.
  • Recommandation : Utilisez un client NTP pour synchroniser automatiquement l’heure.

2. Version de RouterOS

Ce guide s’applique spécialement à RouterOS v7. Bien que certaines fonctions DoH existaient dans des versions v6 récentes, la v7 offre la stabilité et la prise en charge moderne des chiffrements nécessaires pour des connexions DoH fiables avec des fournisseurs comme Cloudflare et Google.

Étape 1 : Téléchargement et importation des certificats

Pour valider que le serveur Cloudflare est bien celui qu’il prétend être, votre MikroTik a besoin d’une Autorité de Certification (CA) racine. Sans cela, le routeur ne peut pas établir une « poignée de main » sécurisée avec le serveur DNS.

  1. Ouvrez le Terminal dans WinBox.
  2. Utilisez la commande fetch pour télécharger la CA racine :
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Importez le fichier dans le magasin de certificats du routeur :
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Confirmez l’import en allant dans System > Certificates. Vous devez voir la CA listée, signifiant que le routeur fait maintenant confiance au point d’accès.

certificate changed and approved

Étape 2 : Configuration du résolveur DoH

Avec le certificat en place, vous pouvez configurer les paramètres DNS. Nous utiliserons Cloudflare (1.1.1.1) car c’est l’un des fournisseurs les plus rapides et axés sur la confidentialité.

  1. Allez dans IP > DNS.
  2. Dans le champ Use DoH Server, saisissez l’URL suivante :
    https://1.1.1.1/dns-query
  3. Cochez la case Verify DoH Certificate. Cela garantit que le routeur vérifie le certificat que nous avons importé.
  4. Assurez-vous que Allow Remote Requests est activé. Cela permet aux appareils de votre réseau d’utiliser le MikroTik comme passerelle DNS sécurisée.
  5. Nettoyage critique : Pour une sécurité maximale, vous devez configurer vos clients pour utiliser l’IP du MikroTik comme serveur DNS, plutôt que des adresses externes.

dns added and configured

Étape 3 : Vérification côté client

Même si le routeur est configuré, vous devez vous assurer que vos appareils utilisent effectivement le chemin chiffré.

  1. Sur votre ordinateur, vérifiez que le DNS est réglé sur l’adresse IP de votre routeur MikroTik.
  2. Ouvrez votre navigateur et rendez-vous sur la page d’aide de Cloudflare.
  3. Attendez la fin du test. Cherchez la ligne : “Utilisation de DNS over HTTPS (DoH)”. Elle doit indiquer Oui.

check if everything went well on cloudflare site

Dépannage et surveillance

Si certains sites ne chargent pas, vous pouvez surveiller le trafic DoH via les logs MikroTik pour identifier les échecs de poignée de main ou les délais d’attente.

  • Vérification des logs : Exécutez la commande suivante dans le terminal pour voir les événements DoH :
    Terminal window
    /log print where message~"doh"
  • Erreur courante : Si les logs indiquent une “erreur SSL”, vérifiez votre System > Clock. Une différence de quelques minutes peut rendre le certificat invalide.

Comment MKController aide : Déployer ces paramètres de confidentialité sur plusieurs succursales ou sites clients est un défi majeur. MKController vous permet de pousser ces configurations DoH spécifiques et certificats racines à tout votre parc de routeurs en une fois. De plus, si un certificat expire ou que l’horloge se décale sur une unité distante, notre tableau de bord fournit des alertes immédiates pour corriger le problème avant que le client perde la connexion.

À propos de MKController

Nous espérons que ces conseils vous ont aidé à mieux maîtriser votre univers Mikrotik et Internet ! 🚀
Que vous ajustiez des configurations ou cherchiez simplement à mettre un peu d’ordre dans le chaos réseau, MKController est là pour simplifier votre vie.

Avec sa gestion cloud centralisée, ses mises à jour de sécurité automatisées et un tableau de bord accessible à tous, nous avons ce qu’il faut pour faire évoluer votre exploitation.

👉 Démarrez votre essai gratuit de 3 jours maintenant sur mkcontroller.com — et découvrez ce qu’un contrôle réseau sans effort signifie vraiment.