Skip to content
Blog

Kaip Konfigūruoti DNS per HTTPS (DoH) MikroTik RouterOS v7

Santrauka Apsaugokite savo naršymo privatumą įdiegę DNS per HTTPS (DoH) MikroTik RouterOS v7. Ši išsami instrukcija padės įdiegti sertifikatą, konfigūruoti saugų resolverį naudojant Cloudflare ir patikrinti, ar DNS užklausos lieka užšifruotos bei nematomos IPT ar vietiniams tinklo atakų vykdytojams.

Kaip Konfigūruoti DNS per HTTPS (DoH) MikroTik RouterOS v7

Privatumas šiuolaikiniame skaitmeniniame pasaulyje nėra prabanga – tai būtinybė. Pagal nutylėjimą dauguma maršrutizatorių naudoja standartinį DNS, kuris perduoda jūsų svetainių užklausas nešifruotas. Tai reiškia, kad jūsų interneto paslaugų teikėjas (IPT) ar net koks atakuotojas jūsų vietiniame Wi-Fi tinkle gali stebėti kiekvieną lankomą domeną. Norėdami tai išspręsti, DNS per HTTPS (DoH) užšifruoja šias užklausas naudodamas tą patį protokolą kaip saugi naršyklė (HTTPS/TLS).

Įdiegus DoH savo MikroTik maršrutizatoriuje, interneto „adresų knyga“ lieka privačia. Vietoj užklausų siuntimo per pažeidžiamą UDP 53 prievadą, jos siunčiamos per užšifruotą tunelį per prievadą 443.

Techninės Priešpriešos

Prieš pradedant konfigūraciją, būtina patikrinti svarbias detales, kad užšifruotas ryšys veiktų stabiliai.

1. Tikslus Sistemos Laikrodis

Kadangi DoH priklauso nuo SSL/TLS sertifikatų, jūsų maršrutizatoriaus laikas turi būti tikslus. Jei laikrodis neteisingas, sertifikato patvirtinimas nepavyks ir DNS visiškai neveiks.

  • Eikite į System > Clock ir įsitikinkite, kad data bei laikas yra teisingi.
  • Rekomendacija: naudokite NTP klientą, kad laikas būtų sinchronizuojamas automatiškai.

2. RouterOS Versija

Ši instrukcija skirta būtent RouterOS v7. Nors kai kurios DoH funkcijos buvo prieinamos v6 versijos pabaigoje, v7 versija suteikia stabilumą ir modernią šifravimo palaikymą, reikalingą patikimam DoH ryšiui su tiekėjais, tokiais kaip Cloudflare ir Google.

1 ŽINGSNIS: Sertifikatų Parsisiuntimas ir Importavimas

Kad patvirtintumėte, jog Cloudflare serveris yra tikras, jūsų MikroTik maršrutizatorius turi turėti Root Certificate Authority (CA) sertifikatą. Be to, maršrutizatorius negalės užmegzti saugaus ryšio su DNS serveriu.

  1. Atverkite Terminalą WinBox programoje.
  2. Naudokite fetch komandą Root CA parsisiuntimui:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Importuokite failą į savo maršrutizatoriaus sertifikatų saugyklą:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Patvirtinkite importavimą eidami į System > Certificates. Turėtumėte matyti CA sąraše, kas reiškia, kad maršrutizatorius dabar pasitiki šiuo galiniu tašku.

certificate changed and approved

2 ŽINGSNIS: DoH Resolverio Konfigūracija

Įdiegus sertifikatą, galime pereiti prie DNS nustatymų. Naudosime Cloudflare (1.1.1.1), nes tai vienas greičiausių ir labiausiai privatumą gerbiančių tiekėjų.

  1. Eikite į IP > DNS.
  2. Laukelyje Use DoH Server įveskite šį URL:
    https://1.1.1.1/dns-query
  3. Pažymėkite langelį Verify DoH Certificate. Tai užtikrina, kad maršrutizatorius tikrins ką tik importuotą sertifikatą.
  4. Įsitikinkite, kad pažymėtas langelis Allow Remote Requests. Tai leidžia tinklo įrenginiams naudoti MikroTik kaip saugų DNS vartų tašką.
  5. Svarbus patarimas: siekiant maksimalaus saugumo, kliento įrenginiuose turite nurodyti MikroTik maršrutizatoriaus IP kaip DNS serverį, o ne išorinius adresus.

dns added and configured

3 ŽINGSNIS: Kliento Patikra

Net jei maršrutizatorius sukonfigūruotas, privalote įsitikinti, kad vietiniai įrenginiai tikrai naudoja užšifruotą ryšį.

  1. Kompiuteryje nustatykite DNS adresą į Jūsų MikroTik maršrutizatoriaus IP.
  2. Atidarykite naršyklę ir eikite į Cloudflare pagalbos puslapį.
  3. Laukite kol testas baigsis. Ieškokite eilutės: “Using DNS over HTTPS (DoH)”. Ji turėtų rodyti Yes.

check if everything went well on cloudflare site

Gedimų Šalinimas ir Stebėjimas

Jei kyla problemų ir svetainės neatsidaro, galite stebėti DoH srautą MikroTik žurnaluose, kad identifikuotumėte prisijungimo klaidas ar laiko limitus.

  • Žurnalo peržiūra: terminale įveskite šią komandą, kad matytumėte DoH įvykius:
    Terminal window
    /log print where message~"doh"
  • Dažna klaida: Jei žurnaluose matote „SSL error“, patikrinkite savo System > Clock. Net kelių minučių laiko neatitikimas gali sukelti sertifikato netikrumo problemų.

Kaip padeda MKController: Platus tokių privatumo nustatymų diegimas keliuose filialuose ar klientų tinkluose yra didelis iššūkis. MKController leidžia vienu metu išplatinti šias DoH konfigūracijas ir Root CA sertifikatus visam maršrutizatorių parkui. Be to, jei sertifikatas pasibaigia arba laikrodis nukrypsta, mūsų valdymo skydelis suteikia greitus perspėjimus, kad galėtumėte spręsti problemą dar prieš prarandant ryšį su klientu.

Apie MKController

Tikimės, kad aukščiau esanti informacija padėjo geriau suprasti jūsų MikroTik ir interneto aplinką! 🚀
Nesvarbu, ar tikslinate konfigūracijas, ar tvarkote tinklo chaosą, MKController yra čia, kad palengvintų jūsų darbą.

Su centralizuotu debesijos valdymu, automatiniais saugumo atnaujinimais ir skydeliu, kuriuo paprasta naudotis, turime tai, ko reikia jūsų tinklo valdymui pakelti į naują lygį.

👉 Pradėkite nemokamą 3 dienų bandomąją versiją dabar svetainėje mkcontroller.com – ir pamatykite, ką reiškia lengvas tinklo valdymas.