Перейти к содержимому
Blog

Как настроить DNS через HTTPS (DoH) на MikroTik RouterOS v7

Кратко Защитите приватность при серфинге, внедрив DNS через HTTPS (DoH) на MikroTik RouterOS v7. В этом руководстве - установка сертификатов, настройка безопасного резолвера с Cloudflare и проверка, чтобы все DNS-запросы были зашифрованы и скрыты от провайдеров и локальных атакующих.

Как настроить DNS через HTTPS (DoH) на MikroTik RouterOS v7

Приватность в цифровом мире — не роскошь, а необходимость. По умолчанию большинство маршрутизаторов использует обычный DNS, который передает запросы в открытом виде. Это значит, что ваш интернет-провайдер или злоумышленник в вашей сети Wi-Fi может отслеживать каждое посещение домена. Для решения используется DNS через HTTPS (DoH) — запросы шифруются с помощью протокола HTTPS/TLS, как в безопасных веб-браузерах.

С DoH на MikroTik “телефонная книга” интернета остается приватной. Запросы не идут через уязвимый UDP порт 53, а проходят по зашифрованному туннелю через порт 443.

Технические требования

Перед настройкой нужно проверить несколько важных моментов, чтобы шифрованное соединение работало корректно.

1. Точное время системы

Так как DoH использует SSL/TLS сертификаты, время на роутере должно быть правильным. Если часы сбиты, проверка сертификата не пройдет, и DNS перестанет работать.

  • Зайдите в System > Clock и проверьте дату и время.
  • Рекомендация: настройте NTP-клиент для автоматической синхронизации времени.

2. Версия RouterOS

Инструкция рассчитана на RouterOS v7. Хотя частично DoH поддерживался в поздних версиях v6, только v7 обеспечивает стабильность и поддержку современных шифров для надежного DoH с такими провайдерами, как Cloudflare и Google.

Шаг 1: Загрузка и импорт сертификатов

Чтобы удостовериться, что сервер Cloudflare подлинный, MikroTik нужен корневой сертификат центра сертификации (CA). Без него роутер не сможет установить безопасное соединение с DNS-сервером.

  1. Откройте Терминал в WinBox.
  2. Скачайте Root CA командой:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Импортируйте файл в хранилище сертификатов роутера:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Проверьте успешный импорт в System > Certificates. Там должен отобразиться этот CA — значит роутер доверяет серверу.

certificate changed and approved

Шаг 2: Настройка DoH-резолвера

С сертификатом можно настроить параметры DNS с использованием Cloudflare (1.1.1.1) — одного из самых быстрых и приватных провайдеров.

  1. Перейдите в IP > DNS.
  2. В поле Use DoH Server введите URL: https://1.1.1.1/dns-query
  3. Включите опцию Verify DoH Certificate — роутер будет проверять импортированный сертификат.
  4. Убедитесь, что отмечено Allow Remote Requests — это позволит устройствам в сети использовать MikroTik как безопасный DNS-шлюз.
  5. Важно: для максимальной защиты настройте клиентские устройства использовать IP MikroTik как DNS-сервер, а не внешние адреса.

dns added and configured

Шаг 3: Проверка на клиенте

Даже при настройке роутера, нужно убедиться, что локальные устройства действительно используют зашифрованный канал.

  1. На компьютере установите DNS в IP-адрес вашего MikroTik.
  2. Откройте браузер, перейдите на страницу проверки Cloudflare.
  3. Дождитесь окончания теста. Строка “Using DNS over HTTPS (DoH)” должна показать Yes.

check if everything went well on cloudflare site

Устранение неполадок и мониторинг

Если сайты не загружаются, проверьте логи MikroTik для выявления сбоев рукопожатия или таймаутов соединения DoH.

  • Проверка логов: выполните команду для событий, связанных с DoH:
    Terminal window
    /log print where message~"doh"
  • Типичная ошибка: если логи показывают “SSL error”, перепроверьте System > Clock. Несовпадение времени даже на несколько минут делает сертификат недействительным.

Как помогает MKController: Масштабирование таких настроек приватности по многочисленным филиалам и клиентским объектам часто сложно. MKController позволяет одним разом загрузить DoH-конфигурации и корневые сертификаты во все роутеры. Если срок сертификата истекает или часы сбиваются на удалённом устройстве, дашборд сразу оповестит, чтобы вы предотвратили потерю подключения клиента.

О MKController

Надеемся, что эти советы помогут вам лучше ориентироваться в мире MikroTik и интернет-технологий! 🚀
Будь то тонкая настройка или упорядочивание сетевого хаоса, MKController создан, чтобы облегчить вашу работу.

Централизованное облачное управление, автоматизация обновлений безопасности и простой в освоении дашборд — всё, чтобы вывести вашу сеть на новый уровень.

👉 Начните бесплатный 3-дневный тест сейчас на mkcontroller.com — и убедитесь, как удобно управлять сетью.