דלגו לתוכן
Blog

כיצד להגדיר DNS over HTTPS (DoH) ב-MikroTik RouterOS v7

סיכום הגן על פרטיות הגלישה שלך באמצעות יישום DNS over HTTPS (DoH) ב-MikroTik RouterOS v7. מדריך מקיף זה מלווה אותך בהתקנת תעודה, הגדרת מאמת מאובטח עם Cloudflare ואימות שכל בקשות ה-DNS מוצפנות ונסתרים מספקי האינטרנט ותוקפים ברשת המקומית.

כיצד להגדיר DNS over HTTPS (DoH) ב-MikroTik RouterOS v7

הפרטיות איננה מותרות בעידן הדיגיטלי המודרני; היא הכרחית. רוב הנתבים משתמשים כברירת מחדל ב-DNS סטנדרטי, ששולח את בקשות האתרים שלך בטקסט פשוט. משמעות הדבר היא שהספקית שלך או תוקף ברשת ה-Wi-Fi המקומית עלולים לעקוב אחרי כל דומיין שאתה מבקר בו. הפתרון לכך הוא DNS over HTTPS (DoH), שמצפין את הבקשות דרך אותו פרוטוקול כמו גלישה מאובטחת (HTTPS/TLS).

הפעלת DoH בנתב MikroTik שלך מבטיחה שה”מדריך הטלפונים” של האינטרנט נשאר פרטי. במקום לשלוח בקשות דרך פורט 53 פגיע, הן נארזות בתוך תעלה מוצפנת דרך פורט 443.

דרישות טכניות מוקדמות

לפני הכניסה להגדרות, יש לוודא מרכיבים קריטיים כדי למנוע כישלון בחיבור המוצפן.

1. שעון מערכת מדויק

DoH נשען על תעודות SSL/TLS, לכן על שעון הנתב להיות מדויק. אם השעה שגויה, אימות התעודה ייכשל ו-DNS יפסיק לפעול.

  • עבור אל System > Clock וודא שהתאריך והשעה נכונים.
  • המלצה: השתמש בלקוח NTP לסינכרון אוטומטי של הזמן.

2. גרסת RouterOS

מדריך זה מיועד במפורש ל-RouterOS v7. אף על פי שחלק מתכונות DoH היו זמינות בגרסאות v6 מתקדמות, גרסה 7 מספקת יציבות ותמיכה בצפנים מודרניים הנדרשים לחיבור אמין עם ספקים כמו Cloudflare ו-Google.

שלב 1: הורדה וייבוא תעודות

כדי לוודא ששרת Cloudflare הוא אכן כפי שהוא טוען, נתב MikroTik צריך תעודת Root CA. בלעדיה, לא ניתן לבצע “חילופי ידיים” מאובטח עם שרת ה-DNS.

  1. פתח את Terminal ב-WinBox.
  2. השתמש בפקודת fetch להורדת תעודת ה-Root CA:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. יבא את הקובץ לאחסון התעודות בנתב:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. אשר את הייבוא דרך System > Certificates. עליך לראות את התעודה ברשימה, המאשרת שנתבך סומך על נקודת הקצה.

certificate changed and approved

שלב 2: הגדרת מאמת DoH

כאשר התעודה מותקנת, נוכל להגדיר את הגדרות ה-DNS. נשתמש ב-Cloudflare (1.1.1.1) כספק מהיר וממוקד פרטיות.

  1. עבור אל IP > DNS.
  2. בשדה Use DoH Server הזן את ה-URL הבא: https://1.1.1.1/dns-query
  3. סמן V ליד Verify DoH Certificate כדי להבטיח שהנתב יאמת את התעודה שהותקנה.
  4. ודא שסומן גם Allow Remote Requests המאפשר למכשירים ברשת להשתמש בנתב כשער DNS מאובטח.
  5. ניקוי הכרחי: מול אבטחה מירבית, יש לכוון את מכשירי הלקוח להשתמש בכתובת ה-IP של הנתב כשרתי DNS במקום כתובות חיצוניות.

dns added and configured

שלב 3: אימות לקוח

גם אם נתב מוגדר, יש לוודא שמכשירי הלקוח באמת משתמשים בנתיב המוצפן.

  1. במחשב, ודא ש-DNS מוגדר לכתובת ה-IP של הנתב MikroTik שלך.
  2. פתח דפדפן ועבור אל דף הסיוע של Cloudflare.
  3. המתן לסיום הבדיקה וחפש את השורה: “Using DNS over HTTPS (DoH)”. התוצאה צריכה להיות Yes.

check if everything went well on cloudflare site

פתרון תקלות ומעקב

במקרה של אתרים שלא נטענים, ניתן לעקוב אחרי תעבורת DoH דרך רשומות הנתב כדי לזהות כשלי handshake או זמן המתנה.

  • בדיקת יומן: הרץ את הפקודה הבאה במסוף לצפייה באירועי DoH:
    Terminal window
    /log print where message~"doh"
  • שגיאה נפוצה: אם מופיעה שגיאת “SSL error”, בדוק שוב את System > Clock. הפרש שניות בודדות עלול להביא לתעודה לא תקפה.

איפה MKController עוזר: הטמעת הגדרות פרטיות מורכבות בכמה סניפים או אתרי לקוחות היא אתגר משמעותי. MKController מאפשר לדחוף הגדרות DoH ותעודות Root CA למלאי הנתבים שלך במכה אחת. בנוסף, אם תעודה פגה תוקף או שהשעון ביחידה מרוחקת זז, פאנל הבקרה שלנו שולח התראות מיידיות לתיקון מהיר לפני אובדן קישוריות.

על MKController

מקווים שהמידע לעיל סייע לך לנווט טוב יותר בעולם MikroTik והאינטרנט שלך! 🚀
בין אם אתה מכוונן תצורות או מנסה להביא סדר לכאוס הרשת, MKController כאן כדי לפשט את חייך.

עם ניהול ענן מרכזי, עדכוני אבטחה אוטומטיים ודשבורד שכל אחד יכול לשלוט בו, יש לנו את מה שצריך לשדרג את תפעולך.

👉 התחל את תקופת הניסיון החינמית ל-3 ימים ב-mkcontroller.com — וראה כיצד נראה שליטה פשוטה ברשת באמת.