Hoppa till innehåll
Blog

Så här konfigurerar du DNS över HTTPS (DoH) på MikroTik RouterOS v7

Sammanfattning Skydda din webbläsarens integritet genom att implementera DNS över HTTPS (DoH) på MikroTik RouterOS v7. Denna omfattande guide visar hur du installerar certifikat, konfigurerar säkra resolvers med Cloudflare och verifierar att alla DNS-förfrågningar förblir krypterade och dolda från ISP:er och angripare i lokala nätverk.

Så här konfigurerar du DNS över HTTPS (DoH) på MikroTik RouterOS v7

Integritet är inte längre en lyx i dagens digitala värld; det är en nödvändighet. Som standard använder de flesta routrar vanlig DNS, vilket skickar dina webbplatsförfrågningar i klartext. Det innebär att din internetleverantör (ISP) eller till och med en angripare i ditt lokala Wi-Fi kan övervaka varje domän du besöker. För att lösa detta krypterar DNS över HTTPS (DoH) dessa förfrågningar med samma protokoll som säker webbläsning (HTTPS/TLS).

Genom att implementera DoH på din MikroTik-router säkerställer du att internets “telefonbok” förblir privat. I stället för att skicka förfrågningar via det sårbara UDP-port 53, kapslas de in i en krypterad tunnel via port 443.

Tekniska förutsättningar

Innan du påbörjar konfigurationen finns viktiga saker du måste kontrollera för att säkra att den krypterade anslutningen inte misslyckas.

1. Korrekt systemklocka

Eftersom DoH bygger på SSL/TLS-certifikat måste routerns tid stämma. Om klockan går fel kommer certifikatvalideringen att misslyckas och din DNS slutar fungera helt.

  • Gå till System > Clock och verifiera att datum och tid är korrekt inställda.
  • Rekommendation: Använd en NTP-klient för att automatiskt hålla tiden synkroniserad.

2. RouterOS-version

Denna guide är specifikt för RouterOS v7. Även om vissa DoH-funktioner fanns i senare versioner av v6, erbjuder v7 stabilitet och modern cipher-support som krävs för tillförlitliga DoH-anslutningar med leverantörer som Cloudflare och Google.

Steg 1: Ladda ner och importera certifikat

För att verifiera att Cloudflare-servern är den den utger sig för att vara kräver din MikroTik ett Root Certificate Authority (CA). Utan detta kan routern inte upprätta en säker “handshake” med DNS-servern.

  1. Öppna Terminal i WinBox.
  2. Använd kommandot fetch för att ladda ner Root CA:
    Terminal window
    /tool fetch url=https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem
  3. Importera filen till din routers certifikatlagring:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Bekräfta importen genom att gå till System > Certificates. Du bör se CA listad, vilket bekräftar att din router nu litar på slutpunkten.

certificate changed and approved

Steg 2: Konfigurera DoH-resolvern

Med certifikatet på plats kan vi nu konfigurera DNS-inställningarna. Vi använder Cloudflare (1.1.1.1) eftersom det är en av de snabbaste och mest integritetsfokuserade leverantörerna.

  1. Gå till IP > DNS.
  2. Ange följande URL i fältet Använd DoH-server: https://1.1.1.1/dns-query
  3. Kryssa i rutan Verifiera DoH-certifikat. Detta säkerställer att routern kontrollerar certifikatet vi just importerade.
  4. Se till att Tillåt fjärrförfrågningar är ikryssad. Detta tillåter enheter i ditt nätverk att använda MikroTik som sin säkra DNS-gateway.
  5. Viktig rengöring: För maximal säkerhet bör du peka dina klientenheter att använda MikroTiks IP som DNS-server i stället för externa IP-adresser.

dns added and configured

Steg 3: Klientverifiering

Även om routern är konfigurerad måste du säkerställa att dina lokala enheter faktiskt använder den krypterade vägen.

  1. På din dator, se till att DNS är inställd på din MikroTik-routers IP-adress.
  2. Öppna din webbläsare och gå till Cloudflares hjälpsida.
  3. Vänta tills testet slutförts. Leta efter raden: “Använder DNS över HTTPS (DoH)”. Den bör visa Ja.

check if everything went well on cloudflare site

Felsökning och övervakning

Om du stöter på problem där webbplatser inte laddas kan du övervaka DoH-trafiken via MikroTiks loggar för att identifiera handshake-fel eller tidsavbrott.

  • Loggkontroll: Kör följande kommando i terminalen för att se DoH-specifika händelser:
    Terminal window
    /log print where message~"doh"
  • Vanligt fel: Om loggarna visar “SSL error”, dubbelkolla System > Clock. En tidsskillnad på bara några minuter kan göra att certifikatet verkar ogiltigt.

Där MKController hjälper till: Att skala dessa integritetsinställningar över flera filialer eller kundplatser är en stor utmaning. MKController låter dig skicka dessa specifika DoH-konfigurationer och Root CA-certifikat till hela din routerpark samtidigt. Dessutom, om ett certifikat löper ut eller klockan går fel på en fjärrenhet, ger vår dashboard omedelbara varningar så att du kan åtgärda problemet innan kunden förlorar anslutningen.

Om MKController

Hoppas insikterna ovan hjälpte dig navigera din MikroTik- och internetvärld lite bättre! 🚀
Oavsett om du finjusterar konfigurationer eller bara försöker skapa ordning i nätverkskaoset, finns MKController här för att göra ditt liv enklare.

Med centraliserad molnhantering, automatiska säkerhetsuppdateringar och en dashboard som vem som helst kan behärska, har vi vad som krävs för att uppgradera din verksamhet.

👉 Starta din fria 3-dagars testversion numkcontroller.com — och se hur enkel nätverkskontroll verkligen kan vara.