Preskočiť na obsah
Blog

Ako nakonfigurovať DNS cez HTTPS (DoH) na MikroTik RouterOS v7

Zhrnutie Chráňte si súkromie prehliadania implementáciou DNS cez HTTPS (DoH) na MikroTik RouterOS v7. Tento kompletný návod vás prevedie inštaláciou certifikátov, nastavením bezpečného resolveru s Cloudflare a overením, že všetky DNS požiadavky zostávajú zašifrované a skryté pred ISP alebo útočníkmi v lokálnej sieti.

Ako nakonfigurovať DNS cez HTTPS (DoH) na MikroTik RouterOS v7

Súkromie už nie je vo svete digitálu luxusom, ale nevyhnutnosťou. Väčšina routerov používa štandardné DNS, ktoré prenáša požiadavky na webové stránky v obyčajnom texte. To znamená, že váš poskytovateľ internetu (ISP) alebo útočník na vašej Wi-Fi môže sledovať každú navštívenú doménu. Riešením je DNS cez HTTPS (DoH), ktorý tieto požiadavky šifruje cez rovnaký protokol ako bezpečné webové prehliadanie (HTTPS/TLS).

Implementácia DoH na vašom MikroTik routeri zaručuje, že “telefónny zoznam” internetu zostane súkromný. Namiesto odosielania požiadaviek cez zraniteľný UDP port 53 sa zabalia do šifrovaného tunela cez port 443.

Technické predpoklady

Pred začatím konfigurácie je nutné overiť niekoľko kritických prvkov, aby spojenie nebolo prerušené.

1. Presný systémový čas

Keďže DoH závisí na SSL/TLS certifikátoch, čas na routeri musí byť správny. Nesprávny čas spôsobí neúspešnú kontrolu certifikátu a DNS úplne prestane fungovať.

  • Prejdite do System > Clock a skontrolujte, či dátum a čas sú presné.
  • Odporúčanie: Použite NTP klienta na automatickú synchronizáciu času.

2. Verzia RouterOS

Tento návod je určený výhradne pre RouterOS v7. Niektoré funkcie DoH sa objavili už v neskorších verziách v6, no v7 poskytuje stabilitu a podporu moderných šifier potrebnú pre spoľahlivé DoH pripojenia k poskytovateľom ako Cloudflare a Google.

Krok 1: Stiahnutie a import certifikátov

Na potvrdenie identity Cloudflare servera potrebuje váš MikroTik koreňový certifikát autority (CA). Bez neho router nedokáže vytvoriť bezpečný “handshake” s DNS serverom.

  1. Otvorte Terminál v WinBoxe.
  2. Použite príkaz fetch na stiahnutie Root CA:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Importujte súbor do certifikátovej databázy routera:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Potvrďte import v System > Certificates. Mali by ste vidieť CA v zozname, čo znamená, že router teraz dôveruje danej entite.

certificate changed and approved

Krok 2: Nastavenie DoH resolveru

Keď máte certifikát, môžeme nakonfigurovať DNS. Použijeme Cloudflare (1.1.1.1), ktorý je jedným z najrýchlejších a najviac zameraných na súkromie.

  1. Prejdite do IP > DNS.
  2. Do poľa Use DoH Server zadajte URL: https://1.1.1.1/dns-query
  3. Zaškrtnite možnosť Verify DoH Certificate; tá zabezpečí kontrolu importovaného certifikátu.
  4. Uistite sa, že je aktivovaná voľba Allow Remote Requests, aby zariadenia v sieti mohli používať MikroTik ako bezpečný DNS bránu.
  5. Dôležité čistenie: Pre maximálnu bezpečnosť nastavte DNS adresu na klientskych zariadeniach tak, aby používali IP adresu MikroTik routera namiesto externých DNS.

dns added and configured

Krok 3: Overenie na klientovi

Aj keď router je nastavený, treba potvrdiť, že lokálne zariadenia naozaj používajú šifrovanú cestu.

  1. Na počítači nastavte DNS na IP adresu vášho MikroTik routera.
  2. Otvorte prehliadač a navštívte Cloudflare Help Page.
  3. Počkajte na dokončenie testu. Malo by sa zobraziť: “Using DNS over HTTPS (DoH)” s odpoveďou Yes.

check if everything went well on cloudflare site

Riešenie problémov a monitorovanie

V prípade problémov s načítavaním stránok môžete sledovať DoH prenosy v logoch MikroTik a identifikovať chyby handshake alebo timeouty.

  • Kontrola logu: V termináli spustite:
    Terminal window
    /log print where message~"doh"
  • Častá chyba: Ak vidíte “SSL error”, skontrolujte System > Clock, pretože niekoľkominútový rozdiel môže spôsobiť neplatnosť certifikátu.

Kde pomáha MKController: Hromadné nasadenie týchto nastavení a certifikátov DoH na viacerých pobočkách alebo klientoch je náročné. MKController umožňuje automaticky distribuovať DoH konfigurácie a Root CA certifikáty do celej siete routerov. Ak certifikát vyprší alebo čas na vzdialenom zariadení bude nesprávny, dashboard vás ihneď upozorní, aby ste predišli strate pripojenia zákazníka.

O MKController

Dúfame, že tieto rady vám pomohli lepšie zvládnuť Mikrotik a internetový svet! 🚀
Či už dolaďujete nastavenia, alebo chcete zaviesť poriadok v sieti, MKController vám uľahčí prácu.

Vďaka centrálnej cloud správe, automatickým bezpečnostným aktualizáciám a jednoduchému dashboardu máme všetko, čo potrebujete na modernizáciu prevádzky.

👉 Vyskúšajte si bezplatnú 3-dňovú skúšobnú verziu na mkcontroller.com — a uvidíte, aké jednoduché môže byť riadenie siete.