Ga naar inhoud
Blog

DNS over HTTPS (DoH) Configureren op MikroTik RouterOS v7

Samenvatting Bescherm je browseprivacy door DNS over HTTPS (DoH) te implementeren op MikroTik RouterOS v7. Deze uitgebreide gids leidt je door het installeren van certificaten, het configureren van een veilige resolver met Cloudflare en verificatiestappen om te verzekeren dat alle DNS-aanvragen versleuteld blijven en verborgen voor ISP’s of aanvallers op het lokale netwerk.

DNS over HTTPS (DoH) Configureren op MikroTik RouterOS v7

Privacy is geen luxe meer in het digitale tijdperk; het is een noodzaak. Standaard gebruiken de meeste routers gewone DNS, waarbij je websiteverzoeken in platte tekst worden verzonden. Dit betekent dat je internetprovider (ISP), of zelfs een aanvaller op je lokale wifi, elke bezochte domeinnaam kan volgen. Om dit te voorkomen versleutelt DNS over HTTPS (DoH) deze verzoeken met hetzelfde protocol als beveiligd web browsen (HTTPS/TLS).

DoH implementeren op je MikroTik-router zorgt ervoor dat het “telefoonboek” van het internet privé blijft. In plaats van verzoeken onbeschermd via UDP-poort 53 te versturen, worden ze verpakt in een versleutelde tunnel via poort 443.

Technische Vereisten

Voordat je begint met configureren, zijn er een paar essentiële punten om te controleren zodat de versleutelde verbinding niet faalt.

1. Nauwkeurige Systeemklok

DoH is afhankelijk van SSL/TLS-certificaten, daarom moet de klok van je router correct zijn. Als de tijd verkeerd staat, mislukt certificaatvalidatie en werkt DNS helemaal niet meer.

  • Ga naar System > Clock en controleer of datum en tijd kloppen.
  • Aanbeveling: Gebruik een NTP-client voor automatische tijdsynchronisatie.

2. RouterOS-versie

Deze handleiding is specifiek voor RouterOS v7. Hoewel sommige DoH-functies in latere v6- versies zaten, biedt v7 de stabiliteit en moderne encryptie die nodig is voor betrouwbare DoH-verbindingen met providers zoals Cloudflare en Google.

Stap 1: Certificaten Downloaden en Importeren

Om te verifiëren dat de Cloudflare-server is wie hij beweert te zijn, heeft je MikroTik een Root Certificate Authority (CA) nodig. Zonder deze kan de router de veilige “handshake” met de DNS-server niet leggen.

  1. Open de Terminal in WinBox.
  2. Gebruik het fetch commando om de Root CA te downloaden:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Importeer het bestand in de certificaatopslag van je router:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Bevestig de import via System > Certificates. De CA moet zichtbaar zijn, wat betekent dat je router nu de eindpunt vertrouwt.

certificate changed and approved

Stap 2: De DoH Resolver Configureren

Met het certificaat op zijn plek kunnen we nu de DNS-instellingen aanpassen. We gebruiken Cloudflare (1.1.1.1) omdat dit een van de snelste en privacyvriendelijkste providers is.

  1. Ga naar IP > DNS.
  2. Vul bij Use DoH Server de volgende URL in: https://1.1.1.1/dns-query
  3. Vink Verify DoH Certificate aan. Zo controleert de router het zojuist geïmporteerde certificaat.
  4. Zorg dat Allow Remote Requests is aangevinkt. Hiermee kunnen apparaten in je netwerk de MikroTik als hun beveiligde DNS-gateway gebruiken.
  5. Belangrijke Tip: Voor maximale veiligheid moeten clientapparaten naar het IP-adres van de MikroTik als DNS-server verwijzen, niet naar externe IP’s.

dns added and configured

Stap 3: Verifiëren op de Client

Ook al is de router juist ingesteld, je moet controleren of je lokale apparaten daadwerkelijk het versleutelde pad gebruiken.

  1. Stel op je computer in dat de DNS het IP-adres van je MikroTik-router is.
  2. Open je browser en ga naar Cloudflare’s Help Page.
  3. Wacht tot de test klaar is. Zoek naar de regel: “Using DNS over HTTPS (DoH)”. Daar moet Yes staan.

check if everything went well on cloudflare site

Problemen Oplossen en Monitoren

Als websites niet laden, kun je de DoH-verkeer volgen via de MikroTik-logboeken om handshake-fouten of timeoutproblemen te vinden.

  • Log Controleren: Voer het volgende commando uit in de terminal om DoH-gerelateerde meldingen te zien:
    Terminal window
    /log print where message~"doh"
  • Veelvoorkomende Fout: Staat er een “SSL error” in de logs, controleer dan de tijd op System > Clock. Zelfs een paar minuten verschil maakt dat het certificaat ongeldig lijkt.

Waar MKController helpt: Het schalen van deze privacyinstellingen over meerdere filialen of klantlocaties is een grote uitdaging. MKController maakt het mogelijk om deze DoH-configuraties en Root CA certificaten in één keer naar je gehele routervoorraad uit te rollen. Bovendien geeft ons dashboard directe meldingen als een certificaat verloopt of de klok van een remote unit afwijkt, zodat je het probleem kunt oplossen voordat klanten verbindingsproblemen krijgen.

Over MKController

Hopelijk helpen de inzichten hierboven je om makkelijker door je MikroTik en internetwereld te navigeren! 🚀
Of je nu configuraties optimaliseert of gewoon orde wil scheppen in de netwerkchaos, MKController maakt het eenvoudiger.

Met gecentraliseerd cloudbeheer, automatische beveiligingsupdates en een dashboard dat iedereen kan gebruiken, hebben we alles in huis om jouw operatie te upgraden.

👉 Begin nu je gratis 3-daagse proefperiode op mkcontroller.com — en ervaar wat moeiteloze netwerkcontrole betekent.