Gå til innholdet
Blog

Slik konfigurerer du DNS over HTTPS (DoH) på MikroTik RouterOS v7

Sammendrag Beskytt personvernet ditt ved å implementere DNS over HTTPS (DoH) på MikroTik RouterOS v7. Denne grundige guiden viser deg hvordan du installerer sertifikater, konfigurerer en sikker oppløser med Cloudflare, og kontrollerer at alle DNS-forespørsler forblir krypterte og skjulte for ISP-er eller lokale angripere.

Slik konfigurerer du DNS over HTTPS (DoH) på MikroTik RouterOS v7

Personvern er ikke lenger en luksus i dagens digitale verden, det er en nødvendighet. Som standard bruker de fleste rutere vanlig DNS, som sender nettstedforespørslene dine i klartekst. Dette betyr at Internettleverandøren (ISP) eller en angriper på ditt lokale Wi-Fi kan overvåke alle domener du besøker. For å løse dette krypterer DNS over HTTPS (DoH) disse forespørslene ved bruk av samme protokoll som sikker nettsurfing (HTTPS/TLS).

Implementering av DoH på MikroTik-ruteren din sørger for at «telefonboken» til internett forblir privat. I stedet for å sende forespørsler via den sårbare UDP-porten 53, pakkes de inn i en kryptert tunnel gjennom port 443.

Tekniske forutsetninger

Før du går i gang med konfigurasjonen, er det viktige elementer du må sjekke for å sikre at den krypterte forbindelsen ikke feiler.

1. Nøyaktig systemklokke

Siden DoH er avhengig av SSL/TLS-sertifikater, må ruteren ha riktig tid. Hvis klokken er feil, feiler sertifikatvalideringen, og DNS vil slutte å fungere helt.

  • Gå til System > Clock og sørg for at dato og tid er korrekte.
  • Anbefaling: Bruk en NTP-klient for automatisk tidssynkronisering.

2. RouterOS-versjon

Denne guiden er spesielt for RouterOS v7. Selv om noen DoH-funksjoner fantes i senere v6-versjoner, gir v7 stabilitet og moderne krypteringsstøtte som kreves for pålitelige DoH-tilkoblinger med leverandører som Cloudflare og Google.

Steg 1: Last ned og importer sertifikater

For å verifisere at Cloudflare-serveren er den den utgir seg for å være, trenger MikroTik-ruteren din et rotsertifikat (CA). Uten dette kan ikke ruteren etablere en sikker «håndtrykk»-forbindelse med DNS-serveren.

  1. Åpne Terminal i WinBox.
  2. Bruk fetch-kommandoen for å laste ned rot-CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Importer filen til ruteren sertifikatlager:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Bekreft importen ved å gå til System > Certificates. Du skal nå se CA oppført, som bekrefter at ruteren stoler på endepunktet.

certificate changed and approved

Steg 2: Konfigurere DoH-oppløseren

Med sertifikatet på plass kan vi nå konfigurere DNS-innstillingene. Vi bruker Cloudflare (1.1.1.1) da det er en av de raskeste og mest personvernfokuserte leverandørene.

  1. Gå til IP > DNS.
  2. Skriv inn følgende URL i feltet Use DoH Server: https://1.1.1.1/dns-query
  3. Kryss av for Verify DoH Certificate. Dette sørger for at ruteren sjekker sertifikatet vi nettopp importerte.
  4. Sørg for at Allow Remote Requests er krysset av. Dette lar enheter i nettverket ditt bruke MikroTik som sin sikre DNS-gateway.
  5. Kritisk opprydding: For maksimal sikkerhet bør klientenheter peke på MikroTiks IP som DNS i stedet for eksterne IP-adresser.

dns added and configured

Steg 3: Klientverifisering

Selv om ruteren er konfigurert, må du sikre at lokale enheter faktisk bruker den krypterte forbindelsen.

  1. På datamaskinen din, sørg for at DNS er satt til IP-adressen til MikroTik-ruteren.
  2. Åpne nettleseren og gå til Cloudflares hjelpeside.
  3. Vent til testen fullføres. Finn linjen: “Using DNS over HTTPS (DoH)”. Den skal vise Ja.

check if everything went well on cloudflare site

Feilsøking og overvåkning

Hvis du opplever at nettsteder ikke lastes, kan du overvåke DoH-trafikken via MikroTik-loggene for å finne håndtrykkfeil eller tidsavbrudd.

  • Loggsjekk: Kjør følgende kommando i terminalen for å se DoH-spesifikke hendelser:
    Terminal window
    /log print where message~"doh"
  • Vanlig feil: Hvis loggene viser “SSL error”, sjekk System > Clock på nytt. En tidsforskjell på noen få minutter kan gjøre at sertifikatet framstår som ugyldig.

Hvor MKController hjelper: Å skalere disse personverninnstillingene til flere filialer eller kunde-nettverk er en stor utfordring. MKController gjør det mulig å dytte ut DoH-konfigurasjoner og rot-CA-sertifikater til hele ruterbeholdningen samtidig. I tillegg varsler dashbordet umiddelbart dersom et sertifikat utløper eller klokken glipper på en fjern enhet, slik at du kan fikse det før kunden mister tilkobling.

Om MKController

Vi håper tipsene over hjalp deg med å navigere bedre i Mikrotik- og internettuniverset ditt! 🚀
Enten du finjusterer konfigurasjoner eller prøver å få orden på nettverkskaoset, er MKController her for å gjøre livet ditt enklere.

Med sentralisert skyadministrasjon, automatiske sikkerhetsoppdateringer og et dashbord som alle kan mestre, har vi det som trengs for å oppgradere driften din.

👉 Start din gratis 3-dagers prøveperiode nåmkcontroller.com — og se hvordan enkel nettverkskontroll virkelig ser ut.