Aller au contenu
MKController Blog
InstagramYouTubeFacebook

Tutorial

Guide DNS over HTTPS sur MikroTik

Configurez DNS over HTTPS (DoH) sur MikroTik RouterOS v7 avec Cloudflare pour chiffrer les requêtes DNS et bloquer la surveillance du FAI.

MKController5 min read

Résumé DNS over HTTPS (DoH) sur MikroTik RouterOS v7 chiffre chaque requête DNS que le routeur résout, masquant les destinations consultées à votre FAI et à tout attaquant présent sur le réseau local. La mise en place tient en trois étapes courtes : importer un Root CA, pointer IP → DNS vers https://1.1.1.1/dns-query de Cloudflare et vérifier le chemin chiffré depuis un client. Ce guide déroule chaque étape ainsi que les vérifications de troubleshooting qui détectent les deux modes de panne les plus fréquents.

Comment fonctionne DNS over HTTPS sur MikroTik ?

DNS over HTTPS est un protocole qui enveloppe les lookups DNS dans une connexion HTTPS standard (port 443) au lieu de les envoyer en clair sur le port UDP 53. Sur un routeur MikroTik, RouterOS v7 embarque un client DoH natif : une fois configuré, le routeur devient le seul résolveur sécurisé pour chaque équipement du LAN, et les FAI perdent la possibilité de journaliser ou filtrer les requêtes DNS par domaine.

L’implémentation comporte trois pièces mobiles. D’abord, le routeur a besoin d’un certificat Root CA pour valider le handshake TLS avec le fournisseur DoH. Ensuite, le sous-système DNS pointe vers une URL DoH au lieu d’un nameserver IPv4. Enfin, chaque client du LAN utilise le MikroTik lui-même comme serveur DNS — sinon, le trafic contourne entièrement le chemin chiffré.

Prérequis

Deux conditions doivent être réunies pour que DoH fonctionne de manière fiable :

L’horloge système doit être exacte. Les certificats TLS portent des fenêtres de validité ; un routeur dont l’horloge décale ne serait-ce que de quelques minutes refusera le handshake et le DNS cessera silencieusement de résoudre. Ouvrez System → Clock, vérifiez la date et l’heure, puis activez le client NTP pour la synchronisation.

Le routeur doit tourner sous RouterOS v7. Les versions antérieures avaient une prise en charge partielle de DoH mais manquaient de la stabilité des suites de chiffrement nécessaire à un usage en production avec Cloudflare ou Google.

Étape 1 : importer le certificat Root CA

Le MikroTik doit faire confiance à l’autorité de certification qui a signé l’endpoint DoH de Cloudflare. Sans cela, le handshake TLS échoue et DoH ne s’initialise pas.

  1. Ouvrez le Terminal dans Winbox.

  2. Téléchargez le Root CA :

    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem

  3. Importez-le dans le magasin de certificats :

    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase=""

  4. Confirmez dans System → Certificates — le CA doit apparaître dans la liste.

Magasin de certificats MikroTik affichant le Root CA importé

Étape 2 : configurer le résolveur DoH

Une fois le CA approuvé, pointez le sous-système DNS vers Cloudflare.

  1. Naviguez jusqu’à IP → DNS.
  2. Réglez Use DoH Server sur https://1.1.1.1/dns-query.
  3. Cochez Verify DoH Certificate — c’est ce qui rend la connexion réellement sécurisée.
  4. Cochez Allow Remote Requests pour que les clients du LAN puissent utiliser le MikroTik comme passerelle DNS.
  5. Optionnel : videz les anciens résolveurs en clair de la liste Servers pour vous assurer qu’aucune requête ne s’échappe non chiffrée.
Panneau IP DNS de MikroTik avec l'URL du serveur DoH et Verify DoH Certificate activé

Étape 3 : vérifier le chemin chiffré

Le routeur utilise désormais DoH pour ses propres requêtes, mais il faut encore confirmer que les clients passent bien par lui.

  1. Sur un client du LAN, réglez le DNS sur l’IP LAN du MikroTik (le push DHCP s’en charge généralement automatiquement dès que le DNS du routeur est le seul proposé).
  2. Ouvrez https://1.1.1.1/help dans un navigateur.
  3. Attendez le tableau de diagnostic. Cherchez Using DNS over HTTPS (DoH) — il doit afficher Yes.
Page d'aide Cloudflare confirmant que DNS over HTTPS est actif

Troubleshooting

Si un site ne résout pas, le problème est presque toujours l’un de deux : une dérive d’horloge qui casse la validation du certificat, ou un Root CA manquant. Inspectez d’abord le log :

/log print where message~"doh"

Une ligne contenant SSL error ou certificate not trusted pointe vers le Root CA ou l’horloge. Une ligne contenant timeout pointe vers la joignabilité de l’upstream — vérifiez que votre WAN peut atteindre 1.1.1.1 sur le port 443. Pour aller plus loin sur le verrouillage de l’accès d’administration pendant que vous êtes dans IP → DNS, consultez notre guide sur le blocage du trafic par pays ou le tutoriel de filtrage AdList MikroTik pour une protection DNS en couches.

Astuces

  • Fixez la source NTP sur un serveur public stratum-1 (time.cloudflare.com est un bon défaut) — la dérive d’horloge reste la cause unique la plus fréquente des pannes de DoH.
  • Désactivez tout forwarder DNS sur les machines clientes (les navigateurs comme Chrome et Firefox ont leurs propres réglages DoH) afin que la politique soit imposée uniquement au niveau du routeur.
  • Documentez un chemin de résolveur de secours pour l’opérateur — si le Root CA expire de façon inattendue, le LAN perdra le DNS jusqu’à l’import du nouveau CA.

Passez ça à l’échelle sur chaque site

Configurer DoH sur un seul routeur prend un quart d’heure. Le faire sur cinquante sites — chacun avec sa propre dérive d’horloge, son propre cycle de renouvellement de certificat, ses propres règles de firewall capricieuses — est un tout autre problème.

MKController pousse la même configuration DoH et le même bundle Root CA vers chaque MikroTik de votre parc en une seule opération. Quand un certificat s’approche de son expiration ou qu’une horloge distante sort du seuil NTP, le tableau de bord vous alerte avant que les clients ne constatent une panne de DNS.

Démarrez votre essai gratuit MKController