コンテンツにスキップ
Blog

MikroTik RouterOS v7でのDNS over HTTPS(DoH)の設定方法

概要 MikroTik RouterOS v7でDNS over HTTPS(DoH)を実装して閲覧のプライバシーを守ります。この包括的なガイドは、証明書インストールからCloudflareを使った安全なリゾルバー設定、検証手順まで解説し、DNSクエリがISPやローカル攻撃者から完全に暗号化され保護されることを保証します。

MikroTik RouterOS v7でDNS over HTTPS(DoH)を設定する方法

現代のデジタル環境ではプライバシーは贅沢品ではなく必須です。ほとんどのルーターはデフォルトで標準DNSを使用しており、ウェブリクエストが平文で送信されます。つまり、ISPやWi-Fi上の攻撃者が訪問する全てのドメインを監視可能です。これを解決するために、**DNS over HTTPS(DoH)**はウェブブラウジングと同じプロトコル(HTTPS/TLS)でリクエストを暗号化します。

MikroTikルーターにDoHを実装すると、インターネットの「電話帳」が秘密に保たれます。脆弱なUDPポート53ではなく、暗号化トンネルでポート443経由でリクエストを送信します。

技術的前提条件

設定前に、暗号化接続が失敗しないために確認すべき重要な要素があります。

1. 正確なシステムクロック

DoHはSSL/TLS証明書に依存するため、ルーターの時刻が正確である必要があります。時刻がずれていると証明書検証に失敗し、DNSが完全に機能しなくなります。

  • System > Clockで日付と時刻を確認してください。
  • 推奨:NTPクライアントを使って自動で時刻同期を行いましょう。

2. RouterOSのバージョン

本ガイドはRouterOS v7向けです。v6後期にも一部DoH機能はありましたが、v7はCloudflareやGoogleのようなプロバイダーとの信頼性ある接続に必要な安定性と最新暗号化をサポートします。

ステップ1:証明書のダウンロードとインポート

Cloudflareサーバーが正当であることを検証するため、ルーターにはRoot CA証明書が必要です。これが無いと安全な「ハンドシェイク」ができません。

  1. WinBoxのターミナルを開きます。
  2. fetchコマンドを使ってRoot CAをダウンロードします。
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. ルーターの証明書ストアにインポートします:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. System > Certificatesでインポートが成功していることを確認してください。CAがリストに表示されるはずです。

certificate changed and approved

ステップ2:DoHリゾルバーの設定

証明書が設定できたらDNS設定を行います。プライバシー重視かつ高速なCloudflare(1.1.1.1)を使用します。

  1. IP > DNSに進みます。
  2. Use DoH ServerフィールドにURLを入力します: https://1.1.1.1/dns-query
  3. Verify DoH Certificateにチェックを入れます。これにより先ほどインポートした証明書の検証が有効になります。
  4. Allow Remote Requestsがチェックされていることを確認します。ネットワーク内の機器がMikroTikを安全なDNSゲートウェイとして利用できます。
  5. 重要なクリーンアップ:最大限のセキュリティのため、クライアント端末のDNS設定は外部IPではなくMikroTikのIPを指定してください。

dns added and configured

ステップ3:クライアントの検証

ルーターの設定だけでなく、ローカル端末が暗号化パスを使っているかを必ず確認します。

  1. 端末のDNSをMikroTikルーターのIPアドレスに設定します。
  2. ブラウザでCloudflareのヘルプページを開きます。
  3. テスト終了まで待ちます。“Using DNS over HTTPS (DoH)“の行がYesと表示されていることを確認してください。

check if everything went well on cloudflare site

トラブルシューティングと監視

ウェブが表示されないなどの問題があれば、MikroTikログでDoHのハンドシェイク失敗やタイムアウトを確認してください。

  • ログ確認:ターミナルで以下のコマンドを実行し、DoH関連のイベントを表示します。
    Terminal window
    /log print where message~"doh"
  • よくあるエラー:「SSL error」が表示された場合はSystem > Clockで時刻が正しいか再確認してください。数分のずれでも証明書が無効になります。

MKControllerの強み:このプライバシー設定を複数支店やクライアント拠点にスケール適用するのは大変です。MKControllerはDoH設定やRoot CA証明書を在庫全ルーターに一括配信可能。さらに、証明書の期限切れやリモート機器の時刻ずれはダッシュボードで即時通知されるため、接続不良を未然に防げます。

MKControllerについて

今回の内容があなたのMikroTik導入やネット環境構築に役立つことを願っています!🚀
設定調整でも混乱したネットワーク整理でも、MKControllerはあなたの作業をシンプルにします。

クラウド管理の集中化、自動セキュリティ更新、そして誰でも扱えるダッシュボードで、運用をアップグレードしましょう。

👉 無料3日間トライアルを始めるmkcontroller.comで真のネットワーク管理を体験してください。