Skip to content
Blog

Kako konfigurirati DNS preko HTTPS-a (DoH) na MikroTik RouterOS v7

Sažetak Zaštitite privatnost pregledavanja implementacijom DNS preko HTTPS-a (DoH) na MikroTik RouterOS v7. Ovaj detaljan vodič vodi vas kroz instalaciju certifikata, sigurnu konfiguraciju resolvera putem Cloudflare-a i korake provjere kako biste osigurali da su svi DNS upiti šifrirani i skriveni od ISP-a ili napadača na lokalnoj mreži.

Kako konfigurirati DNS preko HTTPS-a (DoH) na MikroTik RouterOS v7

Privatnost više nije luksuz u suvremenom digitalnom svijetu; ona je nužnost. Većina routera po zadanim postavkama koristi standardni DNS koji prenosi vaše zahtjeve za web-stranicama u običnom tekstu. To znači da vaš davatelj internetskih usluga (ISP) ili čak napadač na lokalnoj Wi-Fi mreži može pratiti svaku domenu koju posjećujete. Za rješenje, DNS preko HTTPS-a (DoH) šifrira ove zahtjeve korištenjem istog protokola kao sigurno pregledavanje weba (HTTPS/TLS).

Implementacija DoH na vašem MikroTik routeru osigurava da “adresar” interneta ostane privatan. Umjesto slanja zahtjeva kroz ranjivi UDP port 53, oni se prenose u šifriranom tunelu putem porta 443.

Tehnički preduvjeti

Prije same konfiguracije nužno je provjeriti ključne elemente kako bi veza šifriranja bila uspješna.

1. Točno vrijeme sustava

Budući da DoH koristi SSL/TLS certifikate, vrijeme na vašem routeru mora biti točno. Ako je sat netočan, provjera certifikata neće uspjeti i vaš DNS će u potpunosti prestati raditi.

  • Idite u System > Clock i provjerite je li datum i vrijeme točno podešeno.
  • Preporuka: Koristite NTP klijent za automatsku sinkronizaciju vremena.

2. Verzija RouterOS-a

Ovaj vodič odnosi se posebno na RouterOS v7. Iako su neke DoH funkcije postojale u kasnijim verzijama v6, v7 donosi stabilnost i podršku za moderne šifre potrebne za pouzdane DoH veze s pružateljima poput Cloudflare i Google.

Korak 1: Preuzimanje i uvoz certifikata

Da bi MikroTik mogao potvrditi da je Cloudflare poslužitelj autentičan, potrebna mu je Root Certificate Authority (CA). Bez toga router ne može uspostaviti siguran “handshake” s DNS poslužiteljem.

  1. Otvorite Terminal u WinBox-u.
  2. Koristite naredbu fetch za preuzimanje Root CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Uvezite datoteku u pohranu certifikata na routeru:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Potvrdite uvoz odlaskom na System > Certificates. Trebali biste vidjeti CA na popisu, čime potvrđujete da router sada vjeruje tom endpointu.

certificate changed and approved

Korak 2: Konfiguracija DoH resolvera

S certifikatom na mjestu, sada možemo podesiti DNS postavke. Koristit ćemo Cloudflare (1.1.1.1) kao jednog od najbržih i najviše usredotočenih na privatnost pružatelja.

  1. Idite na IP > DNS.
  2. U polje Use DoH Server unesite sljedeći URL: https://1.1.1.1/dns-query
  3. Označite kućicu Verify DoH Certificate. To jamči da router provjerava certifikat koji smo upravo uvezli.
  4. Provjerite je li označeno Allow Remote Requests. To omogućava uređajima na vašoj mreži da koriste MikroTik kao siguran DNS poslužitelj.
  5. Ključno čišćenje: Za maksimalnu sigurnost trebate usmjeriti DNS adrese vaših klijenata na IP MikroTika umjesto na vanjske adrese.

dns added and configured

Korak 3: Verifikacija na klijentu

Čak i ako je router konfiguriran, morate biti sigurni da vaši lokalni uređaji zapravo koriste šifrirani put.

  1. Na računalu provjerite je li DNS postavljen na IP adresu vašeg MikroTik routera.
  2. Otvorite preglednik i posjetite Cloudflare stranicu za pomoć.
  3. Pričekajte da test završi. Potražite liniju: “Using DNS over HTTPS (DoH)”. Trebala bi pokazivati Yes.

check if everything went well on cloudflare site

Rješavanje problema i nadzor

Ako naiđete na probleme s učitavanjem web stranica, kroz MikroTik logove možete pratiti DoH promet da biste identificirali neuspjele handshakes ili prekide veze.

  • Provjera loga: Pokrenite sljedeću naredbu u terminalu za prikaz događaja vezanih uz DoH:
    Terminal window
    /log print where message~"doh"
  • Česta pogreška: Ako logovi prikazuju “SSL error,” dvaput provjerite System > Clock. Razlika od nekoliko minuta može učiniti da certifikat izgleda nevažećim.

Gdje pomaže MKController: Skaliranje ovih postavki privatnosti na više podružnica ili klijenata često je izazov. MKController vam omogućava da istovremeno potisnete ove specifične DoH konfiguracije i Root CA certifikate na sve vaše routere. Pored toga, ako certifikat istekne ili se sat na udaljenoj jedinici pomakne, nadzorna ploča odmah šalje upozorenja kako biste mogli riješiti problem prije nego što korisnik izgubi konekciju.

O MKControlleru

Nadamo se da su vam gornji savjeti pomogli bolje razumjeti svijet Mikrotika i interneta! 🚀
Bilo da fino podešavate konfiguracije ili pokušavate dovesti red u mrežni kaos, MKController je tu da vam olakša život.

Sa centraliziranim upravljanjem u oblaku, automatiziranim sigurnosnim ažuriranjima i upravljačkom pločom kojom svatko može upravljati, imamo što je potrebno za unaprijediti vaše poslovanje.

👉 Započnite besplatni 3-dnevni probni rok sada na mkcontroller.com — i iskusite kako izgleda neometana mrežna kontrola.