Pāriet uz saturu
Blog

Kā konfigurēt DNS pār HTTPS (DoH) MikroTik RouterOS v7

Kopsavilkums Aizsargājiet savu pārlūkošanas privātumu, īstenojot DNS pār HTTPS (DoH) MikroTik RouterOS v7. Šī detalizētā rokasgrāmata palīdzēs ar sertifikātu instalēšanu, droša resolvera konfigurēšanu, izmantojot Cloudflare, un pārbaudes soļiem, lai nodrošinātu, ka visi DNS pieprasījumi paliek šifrēti un nesasniedz ISP vai vietējos tīkla uzbrucējus.

Kā konfigurēt DNS pār HTTPS (DoH) MikroTik RouterOS v7

Privātums mūsdienu digitālajā vidē nav luksuss, bet nepieciešamība. Pēc noklusējuma lielākā daļa maršrutētāju izmanto parasto DNS, kas pārsūta jūsu tīmekļa pieprasījumus skaidrā tekstā. Tas nozīmē, ka jūsu interneta pakalpojumu sniedzējs (ISP), vai pat uzbrucējs jūsu vietējā Wi-Fi tīklā, var uzraudzīt katru apmeklēto domēnu. Lai to atrisinātu, DNS pār HTTPS (DoH) šifrē šos pieprasījumus, izmantojot to pašu protokolu kā drošai tīmekļa pārlūkošanai (HTTPS/TLS).

DoH ieviešana MikroTik maršrutētājā nodrošina, ka interneta “telefongrāmata” paliek privāta. Tā vietā, lai pieprasījumi tiktu sūtīti caur neaizsargoto UDP 53. portu, tie tiek pārvadāti šifrētā tunelī caur 443. portu.

Tehniskās prasības

Pirms sākt konfigurāciju, ir svarīgi pārbaudīt vairākus kritiskus elementus, lai nodrošinātu, ka šifrētā savienojuma izveide nesabojājas.

1. Precīzs sistēmas pulkstenis

Tā kā DoH balstās uz SSL/TLS sertifikātiem, maršrutētāja laiks ir jābūt pareizam. Ja pulkstenis ir nepareizs, sertifikāta validācija neizdosies un DNS pārtrauks darboties.

  • Dodieties uz System > Clock un pārliecinieties, ka datums un laiks ir precīzi.
  • Ieteikums: Izmantojiet NTP klientu, lai laiku automātiski sinhronizētu.

2. RouterOS versija

Šī rokasgrāmata ir paredzēta RouterOS v7. Lai gan dažas DoH funkcijas bija pieejamas arī vēlākās v6 versijās, v7 nodrošina stabilitāti un mūsdienīgu šifru atbalstu, kas vajadzīgs uzticamai DoH savienojuma izveidei ar tādiem pakalpojumu sniedzējiem kā Cloudflare un Google.

1. solis: Sertifikātu lejupielāde un importēšana

Lai pārliecinātos, ka Cloudflare serveris ir tas, par ko tas sevi pasludina, MikroTik nepieciešams Root Certificate Authority (CA). Bez tā maršrutētājs nevar izveidot drošu “rokasspiedienu” ar DNS serveri.

  1. Atveriet Terminal WinBox.
  2. Izmantojiet komandu fetch, lai lejupielādētu Root CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Importējiet failu maršrutētāja sertifikātu krātuvē:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Apstipriniet importēšanu, dodoties uz System > Certificates. Tur vajadzētu redzēt CA sarakstā, kas apliecina, ka maršrutētājs uzticas šim galapunktam.

certificate changed and approved

2. solis: DoH resolvera konfigurēšana

Kad sertifikāts ir gatavs, varam konfigurēt DNS iestatījumus. Izmantosim Cloudflare (1.1.1.1) kā vienu no ātrākajiem un privātumu visvairāk respektējošajiem pakalpojumu sniedzējiem.

  1. Dodieties uz IP > DNS.
  2. Laukā Use DoH Server ievadiet šādu URL: https://1.1.1.1/dns-query
  3. Atzīmējiet rūtiņu Verify DoH Certificate. Tas nodrošina, ka maršrutētājs pārbauda tikko importēto sertifikātu.
  4. Pārliecinieties, ka ir atzīmēta opcija Allow Remote Requests. Tas ļauj tīkla ierīcēm izmantot MikroTik kā savu drošo DNS vārteju.
  5. Svarīgi tīrīšanas soļi: Lai maksimāli nodrošinātu drošību, jūsu klientu ierīcēm vajadzētu iestatīt izmantot MikroTik IP kā DNS serveri, nevis ārējos IP.

dns added and configured

3. solis: Klienta pārbaude

Pat ja maršrutētājs ir konfigurēts, jums jāpārliecinās, ka jūsu lokālās ierīces tiešām izmanto šifrēto ceļu.

  1. Datorā pārliecinieties, ka DNS adrese ir jūsu MikroTik maršrutētāja IP adrese.
  2. Atveriet pārlūkprogrammu un dodieties uz Cloudflare palīdzības lapu.
  3. Gaidiet, kamēr tests pabeigsies. Meklējiet rindu: “Using DNS over HTTPS (DoH)”. Tai jānorāda Yes.

check if everything went well on cloudflare site

Problēmu novēršana un uzraudzība

Ja rodas problēmas ar vietnēm, kuras neatveras, varat sekot DoH trafika notikumiem MikroTik žurnālos, lai identificētu rokasspiediena kļūmes vai savienojuma noildzes.

  • Žurnālu pārbaude: Izpildiet šādu komandu terminālī, lai redzētu DoH specifiskos notikumus:
    Terminal window
    /log print where message~"doh"
  • Bieža kļūda: Ja žurnālos redzams “SSL error”, pārskatiet System > Clock. Dažminūšu laika nobīde var liecināt, ka sertifikāts ir nederīgs.

Kur MKController palīdz: Šo privātuma iestatījumu izvēršana vairākās filiālēs vai klientu vietās ir liels izaicinājums. MKController ļauj vienlaicīgi izplatīt DoH konfigurācijas un Root CA sertifikātus visiem maršrutētājiem jūsu inventarizācijā. Turklāt, ja sertifikāts beidzas vai pulkstenis novirzās attālajā ierīcē, mūsu panelis nekavējoties atgādina, lai varat novērst problēmu pirms klienta zaudē savienojumu.

Par MKController

Ceru, ka iepriekšējās zināšanas palīdzēja jums labāk pārvaldīt jūsu MikroTik un interneta vidi! 🚀
Neatkarīgi no tā, vai rediģējat konfigurācijas vai cenšaties ieviest kārtību tīkla haosā, MKController ir šeit, lai padarītu jūsu dzīvi vienkāršāku.

Ar centralizētu mākoņvadību, automatizētām drošības atjauninājumiem un paneli, ko var apgūt ikviens, mums ir viss nepieciešamais, lai uzlabotu jūsu darbību.

👉 Sāciet savu bezmaksas 3 dienu izmēģinājumu tagad vietnē mkcontroller.com — un redziet, kā izskatās nepiespiesta tīkla pārvaldība.