Przejdź do głównej zawartości
Blog

Jak skonfigurować DNS over HTTPS (DoH) w MikroTik RouterOS v7

Podsumowanie Chroń swoją prywatność podczas przeglądania, wdrażając DNS over HTTPS (DoH) w MikroTik RouterOS v7. Ten obszerny przewodnik przeprowadzi Cię przez instalację certyfikatów, konfigurację bezpiecznego resolvera z Cloudflare oraz weryfikację, aby wszystkie zapytania DNS pozostały zaszyfrowane i niewidoczne dla ISP lub lokalnych atakujących.

Jak skonfigurować DNS over HTTPS (DoH) w MikroTik RouterOS v7

Prywatność nie jest już luksusem w nowoczesnym świecie cyfrowym; stała się koniecznością. Domyślnie większość routerów używa standardowego DNS, który przesyła zapytania o strony internetowe w postaci zwykłego tekstu. Oznacza to, że Twój dostawca internetu (ISP) lub nawet osoba podsłuchująca na lokalnej sieci Wi-Fi może monitorować każdą odwiedzaną domenę. Aby temu zapobiec, DNS over HTTPS (DoH) szyfruje te zapytania używając protokołu takiego samego jak bezpieczne przeglądanie stron (HTTPS/TLS).

Wdrożenie DoH na Twoim routerze MikroTik zapewnia, że “książka telefoniczna” internetu pozostaje prywatna. Zamiast wysyłać zapytania przez podatny port UDP 53, są one przesyłane w zaszyfrowanym tunelu przez port 443.

Wymagania techniczne

Przed rozpoczęciem konfiguracji musisz zweryfikować kilka kluczowych elementów, aby połączenie szyfrowane działało poprawnie.

1. Dokładny czas systemowy

Ponieważ DoH opiera się na certyfikatach SSL/TLS, czas w routerze musi być prawidłowy. Nieprawidłowy zegar spowoduje błąd weryfikacji certyfikatu i DNS przestanie działać.

  • Przejdź do System > Clock i upewnij się, że data i godzina są poprawne.
  • Zalecenie: Korzystaj z klienta NTP, aby automatycznie synchronizować czas.

2. Wersja RouterOS

Ten przewodnik jest przeznaczony dla RouterOS v7. Chociaż pewne funkcje DoH były dostępne w późniejszych wersjach v6, wersja 7 oferuje stabilność i nowoczesne wsparcie dla szyfrów, które są niezbędne do stabilnych połączeń DoH z dostawcami, takimi jak Cloudflare czy Google.

Krok 1: Pobieranie i import certyfikatów

Aby zweryfikować, że serwer Cloudflare jest tym, za kogo się podaje, Twój MikroTik potrzebuje certyfikatu Root Certification Authority (CA). Bez niego router nie może ustanowić bezpiecznego “uścisku dłoni” z serwerem DNS.

  1. Otwórz Terminal w WinBox.
  2. Użyj polecenia fetch, aby pobrać certyfikat Root CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Zaimportuj plik do magazynu certyfikatów routera:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Potwierdź import, przechodząc do System > Certificates. Powinieneś zobaczyć certyfikat CA na liście, co oznacza, że router ufa teraz temu punktowi końcowemu.

certificate changed and approved

Krok 2: Konfiguracja resolvera DoH

Mając certyfikat na miejscu, możemy teraz skonfigurować ustawienia DNS. Skorzystamy z Cloudflare (1.1.1.1), jednego z najszybszych i najbardziej prywatnych dostawców.

  1. Przejdź do IP > DNS.
  2. W polu Use DoH Server wpisz następujący adres URL: https://1.1.1.1/dns-query
  3. Zaznacz pole Verify DoH Certificate, aby router weryfikował zaimportowany certyfikat.
  4. Upewnij się, że jest zaznaczone Allow Remote Requests. Pozwoli to urządzeniom w Twojej sieci na korzystanie z MikroTika jako bezpiecznego serwera DNS.
  5. Krytyczne czyszczenie: Dla maksymalnego bezpieczeństwa ustaw na urządzeniach klienckich adres DNS routera MikroTik, zamiast zewnętrznych adresów DNS.

dns added and configured

Krok 3: Weryfikacja klienta

Nawet jeśli router jest skonfigurowany, musisz upewnić się, że Twoje lokalne urządzenia faktycznie używają zaszyfrowanego połączenia.

  1. Na komputerze ustaw adres DNS na adres IP routera MikroTik.
  2. Otwórz przeglądarkę i wejdź na Stronę pomocy Cloudflare.
  3. Poczekaj na zakończenie testu. Powinna pojawić się linia: “Using DNS over HTTPS (DoH)” z odpowiedzią Yes.

check if everything went well on cloudflare site

Rozwiązywanie problemów i monitorowanie

Jeśli strony nie ładują się prawidłowo, możesz monitorować ruch DoH w logach MikroTik, aby zidentyfikować błędy uścisku dłoni lub przekroczenia czasu połączenia.

  • Sprawdzenie logów: Uruchom następujące polecenie w terminalu, aby zobaczyć zdarzenia dotyczące DoH:
    Terminal window
    /log print where message~"doh"
  • Typowy błąd: Jeśli pojawi się “SSL error”, sprawdź ponownie System > Clock. Kilkuminutowa różnica czasu może spowodować, że certyfikat będzie nieważny.

Jak pomaga MKController: Skalowanie tych ustawień prywatności w wielu oddziałach lub u klientów bywa wyzwaniem. MKController umożliwia wysłanie tych konkretnych konfiguracji DoH i certyfikatów Root CA do całej grupy routerów jednocześnie. Dodatkowo, jeśli certyfikat wygaśnie lub zegar się rozreguluje na urządzeniu zdalnym, nasz panel zarządzania wysyła natychmiastowe alerty, abyś mógł rozwiązać problem zanim klient straci łączność.

O MKController

Mamy nadzieję, że powyższe wskazówki pomogły Ci lepiej zrozumieć Twoje środowisko Mikrotik i Internet! 🚀
Niezależnie czy optymalizujesz konfiguracje, czy chcesz po prostu uporządkować sieciowy chaos, MKController ułatwia życie.

Dzięki centralnemu zarządzaniu w chmurze, automatycznym aktualizacjom zabezpieczeń i intuicyjnemu panelowi, mamy narzędzia, które podniosą poziom Twojej sieci.

👉 Rozpocznij darmowy 3-dniowy okres próbny na mkcontroller.com — zobacz, jak wygląda prawdziwa kontrola sieci bez wysiłku.