Sari la conținut
Blog

Cum să configurezi DNS peste HTTPS (DoH) pe MikroTik RouterOS v7

Sumar Protejează-ți confidențialitatea navigării implementând DNS peste HTTPS (DoH) pe MikroTik RouterOS v7. Acest ghid complet te învață instalarea certificatelor, configurarea rezolvatorului securizat cu Cloudflare și verificarea pentru a te asigura că toate cererile DNS rămân criptate și invizibile pentru ISP-uri sau atacatori din rețeaua locală.

Cum să configurezi DNS peste HTTPS (DoH) pe MikroTik RouterOS v7

Confidențialitatea nu mai este un lux în peisajul digital modern; este o necesitate. Implicit, majoritatea routerelor folosesc DNS standard, care transmite cererile către site-uri în text simplu. Asta înseamnă că furnizorul tău de internet (ISP), sau chiar un atacator conectat la Wi-Fi-ul tău local, poate urmări fiecare domeniu vizitat. Pentru a rezolva acest lucru, DNS peste HTTPS (DoH) criptează aceste cereri folosind același protocol ca navigarea web securizată (HTTPS/TLS).

Implementarea DoH pe routerul tău MikroTik asigură că „agenda” internetului rămâne privată. În loc să trimită cereri prin portul UDP vulnerabil 53, acestea trec printr-un tunel criptat via portul 443.

Cerințe tehnice preliminare

Înainte de a începe configurarea, trebuie să verifici câteva elemente critice pentru a te asigura că conexiunea criptată nu va eșua.

1. Ceasul sistemului precis

Deoarece DoH se bazează pe certificate SSL/TLS, ora routerului trebuie să fie corectă. Dacă ceasul este greșit, validarea certificatului va eșua și DNS-ul nu va funcționa.

  • Mergi la System > Clock și asigură-te că data și ora sunt corecte.
  • Recomandare: Folosește un client NTP pentru sincronizarea automată a timpului.

2. Versiunea RouterOS

Acest ghid este destinat în mod specific pentru RouterOS v7. Deși unele funcționalități DoH au existat în versiunile târzii v6, versiunea 7 oferă stabilitatea și suportul pentru cifruri moderne necesare conexiunilor DoH fiabile cu furnizori precum Cloudflare și Google.

Pasul 1: Descarcarea și importarea certificatelor

Pentru a verifica că serverul Cloudflare este cel pretins, MikroTik-ul tău are nevoie de un certificat Root Certificate Authority (CA). Fără acesta, routerul nu poate stabili un „handshake” securizat cu serverul DNS.

  1. Deschide Terminal în WinBox.
  2. Folosește comanda fetch pentru a descărca Root CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Importă fișierul în depozitul de certificate al routerului:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Confirmă importul accesând System > Certificates. Ar trebui să vezi listat CA-ul, confirmând că routerul tău are acum încredere în acest endpoint.

certificate changed and approved

Pasul 2: Configurarea rezolvatorului DoH

Cu certificatul în loc, putem configura setările DNS. Vom folosi Cloudflare (1.1.1.1) deoarece este unul dintre cei mai rapizi și axați pe confidențialitate furnizori disponibili.

  1. Accesează IP > DNS.
  2. În câmpul Use DoH Server, introdu URL-ul: https://1.1.1.1/dns-query
  3. Bifează opțiunea Verify DoH Certificate. Astfel routerul va verifica certificatul pe care tocmai l-am importat.
  4. Asigură-te că Allow Remote Requests este bifat. Aceasta permite dispozitivelor din rețea să folosească MikroTik-ul ca gateway DNS securizat.
  5. Curățare critică: Pentru securitate maximă, setează pe dispozitivele client ca DNS să folosească IP-ul MikroTik-ului, nu IP-uri externe.

dns added and configured

Pasul 3: Verificarea clientului

Chiar dacă routerul este configurat, trebuie să te asiguri că dispozitivele locale folosesc efectiv calea criptată.

  1. Pe calculator, asigură-te că DNS-ul este setat pe adresa IP a routerului MikroTik.
  2. Deschide browserul și accesează pagina de ajutor Cloudflare.
  3. Așteaptă finalizarea testului. Verifică rândul: “Using DNS over HTTPS (DoH)”. Ar trebui să afișeze un Yes.

check if everything went well on cloudflare site

Depanare și monitorizare

Dacă întâmpini probleme cu încărcarea site-urilor, poți monitoriza traficul DoH în logurile MikroTik pentru a identifica eșecuri de handshake sau timeout-uri de conexiune.

  • Verificare loguri: Rulează comanda următoare în terminal pentru a vedea evenimente DoH specifice:
    Terminal window
    /log print where message~"doh"
  • Eroare comună: Dacă logurile afișează „SSL error”, verifică din nou System > Clock. O diferență de câteva minute poate face ca certificatul să nu fie valid.

Unde ajută MKController: Scalarea acestor setări de confidențialitate pe multiple sedii sau clienți este o provocare majoră. MKController permite distribuirea configurațiilor DoH specifice și a certificatelor Root CA către întreaga ta rețea de routere simultan. În plus, dacă un certificat expiră sau ceasul se potrivește greșit pe o unitate remote, dashboard-ul nostru oferă alerte imediate pentru a rezolva problema înainte ca clientul să piardă conexiunea.

Despre MKController

Sperăm că informațiile de mai sus te-au ajutat să navighezi mai bine în universul Mikrotik și Internet! 🚀
Fie că ajustezi configurații sau pur și simplu încerci să aduci ordine în haosul rețelei, MKController este aici pentru a-ți simplifica viața.

Cu management centralizat în cloud, actualizări automate de securitate și un dashboard accesibil oricui, avem tot ce trebuie pentru a-ți ridica operațiunea la nivelul următor.

👉 Începe acum trial-ul gratuit de 3 zile pe mkcontroller.com — și descoperă ce înseamnă controlul facil al rețelei.