Skip to content
Blog

Kako nastaviti DNS preko HTTPS (DoH) na MikroTik RouterOS v7

Povzetek Zaščitite svojo zasebnost brskanja z implementacijo DNS preko HTTPS (DoH) na MikroTik RouterOS v7. Ta celovit vodič vas vodi skozi namestitev certifikatov, varno konfiguracijo rešitelja z uporabo Cloudflare ter preverjanje, da so vsi DNS-podatki šifrirani in skriti pred ISP in napadalci v lokalnem omrežju.

Kako nastaviti DNS preko HTTPS (DoH) na MikroTik RouterOS v7

Zasebnost ni več luksuz v sodobni digitalni dobi; postala je nuja. Večina usmerjevalnikov privzeto uporablja standardni DNS, ki prenaša zahteve za spletna mesta v navadnem besedilu. To pomeni, da vaš ponudnik internetnih storitev (ISP) ali celo napadalec v lokalnem Wi-Fi omrežju lahko spremlja vsako domeno, ki jo obiščete. Za rešitev težave DNS preko HTTPS (DoH) šifrira te zahteve z uporabo istega protokola kot varen dostop do spletnih strani (HTTPS/TLS).

Z implementacijo DoH na vašem MikroTik usmerjevalniku zagotovite, da ostane “telefonni imenik” interneta zaseben. Namesto pošiljanja zahtev prek ranljivega UDP porta 53, so te zavite v šifriran predor prek porta 443.

Tehnični pogoji

Preden začnete s konfiguracijo, morate preveriti nekaj ključnih elementov, da se šifrirana povezava ne bi prekinila.

1. Točen sistemski čas

Ker DoH temelji na SSL/TLS certifikatih, mora biti čas na vašem usmerjevalniku pravilen. Če je ura napačna, bo preverjanje certifikata spodletelo in DNS prenehal delovati.

  • Pojdite v System > Clock in poskrbite, da je datum in čas natančen.
  • Priporočilo: Uporabite NTP odjemalca za samodejno sinhronizacijo časa.

2. Verzija RouterOS

Ta vodič je posebej za RouterOS v7. Nekatere DoH funkcije so bile na voljo v poznejših različicah v6, toda v7 zagotavlja stabilnost in podporo za moderne šifre, ki so potrebne za zanesljive DoH povezave s ponudniki kot sta Cloudflare in Google.

Korak 1: Prenos in uvoz certifikatov

Za potrditev identitete Cloudflare strežnika vaša MikroTik potrebuje korenski certifikat (Root Certificate Authority, CA). Brez tega usmerjevalnik ne more vzpostaviti varnega »ročanja« s DNS strežnikom.

  1. Odprite Terminal v WinBoxu.
  2. Z ukazom fetch prenesite Root CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Uvozite datoteko v skladišče certifikatov na usmerjevalniku:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Potrdite uvoz v meniju System > Certificates. Certifikat CA bi moral biti viden, kar pomeni, da računalnik zaupa ciljni točki.

certificate changed and approved

Korak 2: Konfiguracija DoH rešitelja

Ko je certifikat nameščen, lahko nastavite DNS. Uporabili bomo Cloudflare (1.1.1.1), saj je eden najhitrejših in najbolj zasebnosti prijaznih ponudnikov.

  1. Pojdite na IP > DNS.
  2. V polje Use DoH Server vnesite naslednji URL: https://1.1.1.1/dns-query
  3. Označite polje Verify DoH Certificate. To zagotavlja, da usmerjevalnik preveri pravkar uvoženi certifikat.
  4. Preverite, da je omogočeno Allow Remote Requests. To dovoljuje napravam v vašem omrežju uporabo MikroTik kot varen DNS prehod.
  5. Pomembno čiščenje: Za največjo varnost naj vaše odjemalske naprave kot DNS strežnik uporabljajo IP naslov MikroTik usmerjevalnika in ne zunanje naslove.

dns added and configured

Korak 3: Preverjanje na klientu

Čeprav je usmerjevalnik nastavljen, morate preveriti, ali naprave v lokalnem omrežju dejansko uporabljajo šifrirano povezavo.

  1. Na svojem računalniku nastavite DNS na IP naslov MikroTik usmerjevalnika.
  2. Odprite brskalnik in pojdite na Cloudflare stran za pomoč.
  3. Počakajte na zaključek testa. Poiščite vrstico “Using DNS over HTTPS (DoH)”. Morala bi prikazati Yes.

check if everything went well on cloudflare site

Odpravljanje težav in nadzor

Če naletite na težave, ko spletna mesta ne nalagajo, lahko preko dnevnikov (logov) MikroTik spremljate DoH promet in odkrijete napake pri ročanju ali prekinitvah povezave.

  • Pregled dnevnika: Za prikaz DoH dogodkov v terminalu zaženite:
    Terminal window
    /log print where message~"doh"
  • Pogosta napaka: Če dnevnik pokaže “SSL error”, ponovno preverite System > Clock. Časovna razlika že za nekaj minut lahko povzroči neveljavnost certifikata.

Kako pomaga MKController: Razširjanje teh nastavitev zasebnosti na več poslovalnic ali odjemalskih mest je velik izziv. MKController omogoča, da hkrati potisnete specifične DoH nastavitve in Root CA certifikate na celoten nabor usmerjevalnikov. Poleg tega, če certifikat poteče ali ura odtava na oddaljeni enoti, naši nadzorni paneli takoj opozorijo, da težavo odpravite pred izgubo povezave stranke.

O MKController

Upamo, da so vam zgornje informacije pomagale bolje razumeti Mikrotik in vaš internetni svet! 🚀
Ne glede na to, ali optimizirate nastavitve ali poskušate vnesti red v omrežni kaos, vam MKController olajša življenje.

Z upravljanjem v oblaku, avtomatiziranimi varnostnimi posodobitvami in preprostim nadzornim vmesnikom ponujamo vse, kar je potrebno za nadgradnjo vaše delovanja.

👉 Začnite s 3-dnevnim brezplačnim preizkusom na mkcontroller.com — in spoznajte, kako izgleda brezhibno upravljanje omrežja.