Salta ai contenuti
Blog

Come Configurare DNS over HTTPS (DoH) su MikroTik RouterOS v7

Sommario Proteggi la tua privacy di navigazione implementando DNS over HTTPS (DoH) su MikroTik RouterOS v7. Questa guida completa ti guida attraverso l’installazione dei certificati, la configurazione sicura del resolver con Cloudflare e i passaggi di verifica per assicurare che tutte le query DNS rimangano criptate e nascoste da ISP o attaccanti della rete locale.

Come Configurare DNS over HTTPS (DoH) su MikroTik RouterOS v7

La privacy non è più un lusso nel panorama digitale moderno; è una necessità. Per impostazione predefinita, la maggior parte dei router utilizza DNS standard che trasmette le richieste in chiaro. Questo significa che il tuo provider di servizi Internet (ISP) o perfino un attaccante nella tua rete Wi-Fi locale può monitorare ogni dominio che visiti. Per risolvere questo problema, DNS over HTTPS (DoH) cripta queste richieste usando lo stesso protocollo della navigazione web sicura (HTTPS/TLS).

Implementare DoH sul tuo router MikroTik garantisce che la “rubrica” di Internet rimanga privata. Invece di inviare richieste tramite la vulnerabile porta UDP 53, queste sono incapsulate in un tunnel criptato tramite la porta 443.

Prerequisiti Tecnici

Prima di iniziare la configurazione, ci sono elementi fondamentali da verificare per evitare che la connessione criptata fallisca.

1. Orologio di Sistema Preciso

Poiché DoH si basa sui certificati SSL/TLS, l’orologio del router deve essere corretto. Se l’orologio è errato, la validazione del certificato fallirà e il DNS smetterà di funzionare completamente.

  • Vai su System > Clock e verifica che data e ora siano accurate.
  • Raccomandazione: usa un client NTP per mantenere l’ora sincronizzata automaticamente.

2. Versione di RouterOS

Questa guida è specifica per RouterOS v7. Sebbene alcune funzionalità DoH fossero presenti nelle ultime versioni della serie v6, la v7 offre la stabilità e il supporto ai cifrari moderni necessari per connessioni DoH affidabili con provider come Cloudflare e Google.

Passo 1: Scaricare e Importare i Certificati

Per verificare che il server Cloudflare sia autentico, il tuo MikroTik necessita di un certificato Root Authority (CA). Senza di questo, il router non può stabilire una “stretta di mano” sicura con il server DNS.

  1. Apri il Terminale in WinBox.
  2. Usa il comando fetch per scaricare la Root CA:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Importa il file nello store dei certificati del router:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Conferma l’importazione andando in System > Certificates. Dovresti vedere il CA elencato, confermando che il router ora si fida dell’endpoint.

certificate changed and approved

Passo 2: Configurare il Resolver DoH

Con il certificato in posizione, possiamo configurare le impostazioni DNS. Useremo Cloudflare (1.1.1.1) in quanto è uno dei provider più veloci e attenti alla privacy.

  1. Vai su IP > DNS.
  2. Nel campo Use DoH Server, inserisci il seguente URL: https://1.1.1.1/dns-query
  3. Spunta la casella Verify DoH Certificate per fare in modo che il router controlli il certificato appena importato.
  4. Assicurati che Allow Remote Requests sia selezionato. Ciò consente ai dispositivi della tua rete di utilizzare MikroTik come gateway DNS sicuro.
  5. Pulizia critica: Per la massima sicurezza, devi puntare i dispositivi client ad usare l’IP del MikroTik come server DNS anziché indirizzi esterni.

dns added and configured

Passo 3: Verifica dal Client

Anche se il router è configurato, devi assicurarti che i dispositivi locali usino effettivamente il percorso criptato.

  1. Sul tuo computer, verifica che il DNS sia impostato sull’indirizzo IP del router MikroTik.
  2. Apri il browser e visita la pagina di supporto Cloudflare.
  3. Attendi il completamento del test. Cerca la riga: “Using DNS over HTTPS (DoH)”. Dovrebbe indicare un .

check if everything went well on cloudflare site

Risoluzione Problemi e Monitoraggio

Se riscontri problemi con siti che non si caricano, puoi controllare il traffico DoH tramite i log di MikroTik per identificare errori di handshake o timeout di connessione.

  • Controllo Log: Esegui questo comando nel terminale per vedere eventi specifici DoH:
    Terminal window
    /log print where message~"doh"
  • Errore Comune: Se i log mostrano “SSL error”, verifica nuovamente la sezione System > Clock. Anche pochi minuti di discrepanza possono rendere il certificato non valido.

Dove aiuta MKController: Applicare queste impostazioni di privacy su più filiali o siti clienti è una sfida importante. MKController consente di distribuire queste configurazioni DoH e i certificati Root CA a tutto il tuo inventario di router simultaneamente. Inoltre, se un certificato scade o l’orologio sballa su un’unità remota, il nostro dashboard invia avvisi immediati per permetterti di risolvere il problema prima che il cliente perda connettività.

Su MKController

Speriamo che le indicazioni sopra ti abbiano aiutato a muoverti meglio nel tuo universo Mikrotik e Internet! 🚀
Che tu stia ottimizzando configurazioni o semplicemente cercando di mettere ordine nella rete, MKController è qui per semplificarti la vita.

Con gestione centralizzata cloud, aggiornamenti di sicurezza automatici e un dashboard intuitivo, abbiamo quello che serve per migliorare la tua operatività.

👉 Inizia ora la tua prova gratuita di 3 giorni su mkcontroller.com — e scopri cosa significa avere il controllo della rete senza sforzo.