Lewati ke konten
MKController Blog
InstagramYouTubeFacebook

Tutorial

Panduan DNS over HTTPS di MikroTik

Konfigurasi DNS over HTTPS (DoH) di MikroTik RouterOS v7 dengan Cloudflare untuk mengenkripsi kueri DNS dan menghentikan pemantauan ISP.

MKController4 min read

Ringkasan DNS over HTTPS (DoH) di MikroTik RouterOS v7 mengenkripsi setiap kueri DNS yang diselesaikan router, menyembunyikan tujuan browsing dari ISP Anda dan dari penyerang mana pun di jaringan lokal. Pengaturannya tiga langkah singkat: impor Root CA, arahkan IP → DNS ke https://1.1.1.1/dns-query milik Cloudflare, dan verifikasi jalur terenkripsi dari klien. Panduan ini menelusuri setiap langkah ditambah pemeriksaan troubleshooting yang menangkap dua mode kegagalan paling umum.

Bagaimana DNS over HTTPS bekerja di MikroTik?

DNS over HTTPS adalah protokol yang membungkus lookup DNS di dalam koneksi HTTPS standar (port 443) alih-alih mengirimnya dalam teks biasa melalui port UDP 53. Pada router MikroTik, RouterOS v7 menyertakan klien DoH bawaan: setelah dikonfigurasi, router menjadi satu-satunya resolver aman untuk setiap perangkat di LAN, dan ISP kehilangan kemampuan untuk mencatat atau memfilter kueri DNS berdasarkan domain.

Implementasinya memiliki tiga bagian bergerak. Pertama, router membutuhkan sertifikat Root CA agar dapat memvalidasi handshake TLS dengan penyedia DoH. Kedua, subsistem DNS menunjuk ke URL DoH alih-alih nameserver IPv4. Ketiga, setiap klien di LAN menggunakan MikroTik itu sendiri sebagai server DNS-nya, jika tidak lalu lintas akan sepenuhnya melewati jalur terenkripsi.

Prasyarat

Dua hal harus benar sebelum DoH dapat bekerja andal:

Jam sistem harus akurat. Sertifikat TLS memiliki jendela validitas; router yang jamnya meleset hanya beberapa menit akan menolak handshake dan DNS diam-diam berhenti me-resolve. Buka System → Clock, verifikasi tanggal dan waktu, dan aktifkan klien NTP agar tetap sinkron.

Router harus menjalankan RouterOS v7. Versi sebelumnya memiliki dukungan DoH parsial tetapi tidak memiliki stabilitas cipher yang dibutuhkan untuk penggunaan produksi dengan Cloudflare atau Google.

Langkah 1: Impor sertifikat Root CA

MikroTik perlu memercayai otoritas sertifikat yang menandatangani endpoint DoH Cloudflare. Tanpa ini, handshake TLS gagal dan DoH tidak akan menginisialisasi.

  1. Buka Terminal di Winbox.

  2. Ambil Root CA:

    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem

  3. Impor ke trust store sertifikat:

    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase=""

  4. Konfirmasi di System → Certificates — CA harus muncul dalam daftar.

Penyimpanan sertifikat MikroTik memperlihatkan Root CA yang sudah diimpor

Langkah 2: Konfigurasikan resolver DoH

Dengan CA dipercaya, arahkan subsistem DNS ke Cloudflare.

  1. Navigasi ke IP → DNS.
  2. Setel Use DoH Server ke https://1.1.1.1/dns-query.
  3. Centang Verify DoH Certificate — inilah yang membuat koneksi benar-benar aman.
  4. Centang Allow Remote Requests agar klien LAN dapat menggunakan MikroTik sebagai gateway DNS-nya.
  5. Opsional, hapus resolver lama berbasis teks biasa dari daftar Servers untuk memastikan tidak ada kueri yang bocor tanpa enkripsi.
Panel IP DNS MikroTik dengan URL server DoH dan Verify DoH Certificate diaktifkan

Langkah 3: Verifikasi jalur terenkripsi

Router sekarang menggunakan DoH untuk kueri-nya sendiri, tetapi Anda masih perlu memastikan klien melewatinya.

  1. Pada klien LAN, atur DNS ke IP LAN MikroTik (push DHCP biasanya menangani ini otomatis begitu DNS router menjadi satu-satunya yang ditawarkan).
  2. Buka https://1.1.1.1/help di browser.
  3. Tunggu tabel diagnostik. Cari Using DNS over HTTPS (DoH) — harus menunjukkan Yes.
Halaman help Cloudflare memastikan DNS over HTTPS sedang aktif

Troubleshooting

Jika sebuah situs tidak ter-resolve, masalahnya hampir selalu salah satu dari dua hal: pergeseran jam yang memutus validasi sertifikat, atau Root CA yang hilang. Periksa log terlebih dahulu:

/log print where message~"doh"

Baris yang berisi SSL error atau certificate not trusted menunjuk ke Root CA atau jam. Baris yang berisi timeout menunjuk ke jangkauan upstream — pastikan WAN Anda dapat mencapai 1.1.1.1 pada port 443. Untuk lebih lanjut tentang mengamankan akses manajemen selagi Anda berada di IP → DNS, lihat panduan kami untuk memblokir lalu lintas per negara atau tutorial pemfilteran adlist MikroTik untuk perlindungan berbasis DNS berlapis.

Tips

  • Patok sumber NTP ke server stratum-1 publik (time.cloudflare.com adalah default yang baik) — pergeseran jam adalah penyebab tunggal DoH offline yang paling umum.
  • Nonaktifkan forwarder DNS apa pun pada mesin klien (browser seperti Chrome dan Firefox memiliki pengaturan DoH sendiri) sehingga kebijakan diberlakukan hanya pada router.
  • Dokumentasikan satu jalur resolver cadangan untuk operator — jika Root CA kedaluwarsa tak terduga, LAN akan kehilangan DNS sampai CA baru diimpor.

Terapkan ini di setiap lokasi

Mengonfigurasi DoH pada satu router memakan waktu lima belas menit. Melakukannya di lima puluh lokasi cabang — masing-masing dengan pergeseran jamnya sendiri, siklus perpanjangan sertifikatnya sendiri, aturan firewall aneh masing-masing — adalah masalah yang sama sekali berbeda.

MKController mendorong konfigurasi DoH dan bundel Root CA yang sama ke setiap MikroTik di inventaris Anda dalam satu operasi. Ketika sebuah sertifikat mendekati kedaluwarsa atau jam jarak jauh mulai meleset di luar ambang NTP, dashboard memperingatkan Anda sebelum pelanggan menyadari adanya gangguan DNS.

Mulai uji coba gratis MKController