Pular para o conteúdo
MKController Blog
InstagramYouTubeFacebook

Tutorial

Guia de DNS over HTTPS no MikroTik

Configure DNS over HTTPS (DoH) no MikroTik RouterOS v7 com Cloudflare para criptografar consultas DNS e bloquear o monitoramento do provedor.

MKController5 min read

Resumo O DNS over HTTPS (DoH) no MikroTik RouterOS v7 criptografa cada consulta DNS que o roteador resolve, escondendo os destinos de navegação do seu provedor e de qualquer atacante na rede local. A configuração tem três passos curtos: importar um Root CA, apontar IP → DNS para o https://1.1.1.1/dns-query da Cloudflare e validar o caminho criptografado a partir de um cliente. Este guia percorre cada passo, junto com as verificações de troubleshooting que pegam as duas falhas mais comuns.

Como funciona o DNS over HTTPS no MikroTik?

O DNS over HTTPS é um protocolo que envelopa consultas DNS dentro de uma conexão HTTPS padrão (porta 443), em vez de enviá-las em texto puro pela porta UDP 53. Em um roteador MikroTik, o RouterOS v7 traz um cliente DoH nativo: uma vez configurado, o roteador se torna o único resolvedor seguro para cada dispositivo da LAN, e os provedores perdem a capacidade de registrar ou filtrar consultas DNS por domínio.

A implementação tem três peças em movimento. Primeiro, o roteador precisa de um certificado Root CA para validar o handshake TLS com o provedor de DoH. Segundo, o subsistema de DNS aponta para uma URL DoH em vez de um nameserver IPv4. Terceiro, cada cliente da LAN usa o próprio MikroTik como seu DNS server — caso contrário, o tráfego escapa totalmente do caminho criptografado.

Pré-requisitos

Duas coisas precisam ser verdadeiras antes que o DoH funcione de forma confiável:

O relógio do sistema precisa estar correto. Os certificados TLS carregam janelas de validade; um roteador com o relógio desviado em apenas alguns minutos rejeitará o handshake e o DNS silenciosamente para de resolver. Abra System → Clock, confirme data e hora e habilite o cliente NTP para mantê-lo sincronizado.

O roteador precisa estar rodando RouterOS v7. Versões anteriores tinham suporte parcial a DoH, mas faltava a estabilidade de cifras necessária para uso em produção com Cloudflare ou Google.

Passo 1: Importar o certificado Root CA

O MikroTik precisa confiar na autoridade certificadora que assinou o endpoint DoH da Cloudflare. Sem isso, o handshake TLS falha e o DoH não inicializa.

  1. Abra o Terminal no Winbox.

  2. Baixe o Root CA:

    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem

  3. Importe-o para o armazenamento de certificados:

    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase=""

  4. Confirme em System → Certificates — o CA deve aparecer na lista.

Armazenamento de certificados do MikroTik mostrando o Root CA importado

Passo 2: Configurar o resolvedor DoH

Com o CA confiável, aponte o subsistema de DNS para a Cloudflare.

  1. Navegue até IP → DNS.
  2. Defina Use DoH Server como https://1.1.1.1/dns-query.
  3. Marque Verify DoH Certificate — é isso que torna a conexão genuinamente segura.
  4. Marque Allow Remote Requests para que os clientes da LAN possam usar o MikroTik como gateway DNS.
  5. Opcionalmente, limpe quaisquer resolvedores legados em texto puro da lista Servers, garantindo que nenhuma consulta vaze sem criptografia.
Painel IP DNS do MikroTik com URL de DoH e Verify DoH Certificate habilitado

Passo 3: Verificar o caminho criptografado

O roteador agora usa DoH para suas próprias consultas, mas ainda é preciso confirmar que os clientes roteiam por ele.

  1. Em um cliente da LAN, configure o DNS para o IP da LAN do MikroTik (o push do DHCP geralmente cuida disso automaticamente quando o DNS do roteador é o único oferecido).
  2. Abra https://1.1.1.1/help em um navegador.
  3. Aguarde a tabela de diagnóstico. Procure por Using DNS over HTTPS (DoH) — deve mostrar Yes.
Página de help da Cloudflare confirmando que o DNS over HTTPS está ativo

Troubleshooting

Se um site não resolver, o problema quase sempre é uma de duas coisas: um desvio de relógio quebrando a validação do certificado ou um Root CA faltando. Inspecione o log primeiro:

/log print where message~"doh"

Uma linha contendo SSL error ou certificate not trusted aponta para o Root CA ou o relógio. Uma linha contendo timeout aponta para alcançabilidade de upstream — verifique se sua WAN consegue alcançar 1.1.1.1 na porta 443. Para mais sobre restringir o acesso de gerenciamento enquanto você está em IP → DNS, veja nosso guia de bloqueio de tráfego por país ou o tutorial de filtragem AdList no MikroTik para proteção em camadas baseada em DNS.

Dicas

  • Fixe a fonte NTP em um servidor stratum-1 público (time.cloudflare.com é um bom padrão) — o desvio de relógio é a causa única mais comum de quedas de DoH.
  • Desabilite quaisquer encaminhadores DNS em máquinas cliente (navegadores como Chrome e Firefox têm suas próprias configurações de DoH) para que a política seja imposta apenas no roteador.
  • Documente um caminho alternativo de resolvedor para o operador — se o Root CA expirar de forma inesperada, a LAN perde DNS até o novo CA ser importado.

Escale isso em todos os sites

Configurar DoH em um único roteador leva quinze minutos. Fazer isso em cinquenta filiais — cada uma com seu próprio desvio de relógio, seu próprio ciclo de renovação de certificado, suas próprias regras de firewall esquisitas — é um problema totalmente diferente.

O MKController distribui a mesma configuração de DoH e o mesmo pacote de Root CA para cada MikroTik do seu inventário em uma única operação. Quando um certificado se aproxima da expiração ou um relógio remoto começa a se afastar do limite do NTP, o painel alerta você antes que os clientes percebam uma queda de DNS.

Inicie seu teste gratuito do MKController