Skip to content
Blog

วิธีตั้งค่า DNS over HTTPS (DoH) บน MikroTik RouterOS v7

สรุป ปกป้องความเป็นส่วนตัวในการใช้งานเว็บของคุณด้วยการใช้ DNS over HTTPS (DoH) บน MikroTik RouterOS v7 คู่มือฉบับสมบูรณ์นี้จะแนะนำตั้งแต่การติดตั้งใบรับรอง การตั้งค่าตัวตรวจสอบที่ปลอดภัยโดยใช้ Cloudflare และขั้นตอนตรวจสอบเพื่อให้มั่นใจว่าคำขอ DNS ทุกคำถูกเข้ารหัสและซ่อนจาก ISP หรือผู้โจมตีในเครือข่ายภายใน

วิธีตั้งค่า DNS over HTTPS (DoH) บน MikroTik RouterOS v7

ความเป็นส่วนตัวไม่ใช่เรื่องฟุ่มเฟือยในยุคดิจิทัลปัจจุบัน แต่เป็นสิ่งจำเป็น โดยค่าเริ่มต้น เราเตอร์ส่วนใหญ่ใช้ DNS ธรรมดาซึ่งส่งคำขอเว็บไซต์เป็นข้อความธรรมดา ซึ่งแปลว่า ISP ของคุณ หรือแม้แต่ผู้โจมตีที่อยู่ใน Wi-Fi ภายในสามารถติดตามโดเมนที่คุณเข้าเยี่ยมชมเพื่อแก้ปัญหานี้ DNS over HTTPS (DoH) จะเข้ารหัสคำขอเหล่านี้ด้วยโปรโตคอลเดียวกับการท่องเว็บที่ปลอดภัย (HTTPS/TLS)

การใช้งาน DoH บนเราเตอร์ MikroTik ของคุณ จะทำให้ “สมุดโทรศัพท์” ของอินเทอร์เน็ตเป็นความลับ แทนที่จะส่งคำขอผ่านพอร์ต UDP 53 ที่เสี่ยง ก็จะถูกห่อหุ้มในช่องทางเข้ารหัสผ่านพอร์ต 443 แทน

คุณสมบัติทางเทคนิคที่ต้องมี

ก่อนตั้งค่า คุณต้องตรวจสอบให้มั่นใจองค์ประกอบสำคัญเพื่อไม่ให้การเชื่อมต่อเข้ารหัสล้มเหลว

1. นาฬิการะบบที่ถูกต้อง

เนื่องจาก DoH ใช้ใบรับรอง SSL/TLS เวลาของเราเตอร์ต้องถูกต้อง หากเวลาไม่ตรง การตรวจสอบใบรับรองจะล้มเหลว และ DNS จะหยุดทำงานทั้งหมด

  • ไปที่ System > Clock และตรวจสอบวันที่กับเวลาว่าถูกต้อง
  • คำแนะนำ: ใช้ลูกค้า NTP เพื่อซิงโครไนซ์เวลาโดยอัตโนมัติ

2. เวอร์ชัน RouterOS

คู่มือนี้ออกแบบสำหรับ RouterOS v7 โดยเฉพาะ แม้ว่า DoH จะมีบางฟีเจอร์ในเวอร์ชัน v6 รุ่นหลัง ๆ แต่ v7 มีความเสถียรและรองรับการเข้ารหัสยุคใหม่ที่จำเป็นสำหรับการเชื่อมต่อ DoH อย่างมั่นคงกับผู้ให้บริการอย่าง Cloudflare และ Google

ขั้นตอนที่ 1: ดาวน์โหลดและนำเข้าใบรับรอง

เพื่อยืนยันว่าเซิร์ฟเวอร์ Cloudflare คือของจริง MikroTik ของคุณต้องมี Root Certificate Authority (CA) หากไม่มี เราเตอร์จะไม่สามารถสร้าง “handshake” ที่ปลอดภัยกับเซิร์ฟเวอร์ DNS ได้

  1. เปิด Terminal ใน WinBox
  2. ใช้คำสั่ง fetch ดาวน์โหลด Root CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. นำเข้าไฟล์ไปยังที่เก็บใบรับรองในเราเตอร์:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. ยืนยันการนำเข้าโดยไปที่ System > Certificates คุณจะเห็น CA ปรากฏอยู่ซึ่งแสดงว่าเราเตอร์ของคุณเชื่อถือจุดปลายทางนี้แล้ว

certificate changed and approved

ขั้นตอนที่ 2: ตั้งค่าตัวแก้ไข DoH

หลังจากใบรับรองพร้อมแล้ว เราจะตั้งค่า DNS โดยใช้ Cloudflare (1.1.1.1) ซึ่งเป็นหนึ่งในผู้ให้บริการที่เร็วและเน้นความเป็นส่วนตัวสูงสุด

  1. ไปที่ IP > DNS
  2. ในช่อง Use DoH Server ให้ใส่ URL ดังนี้: https://1.1.1.1/dns-query
  3. ติ๊กเลือก Verify DoH Certificate เพื่อให้เราเตอร์ตรวจสอบใบรับรองที่นำเข้าไว้
  4. ให้แน่ใจว่าเลือก Allow Remote Requests ด้วย เพื่อให้เครื่องในเครือข่ายใช้ MikroTik เป็นเกตเวย์ DNS ที่ปลอดภัย
  5. การจัดการที่สำคัญ: เพื่อความปลอดภัยสูงสุด ควรชี้อุปกรณ์ลูกข่ายของคุณไปที่ IP ของ MikroTik เป็น DNS แทนที่จะใช้ IP ภายนอก

dns added and configured

ขั้นตอนที่ 3: ตรวจสอบฝั่งลูกข่าย

แม้เราเตอร์ตั้งค่าแล้ว แต่คุณต้องตรวจสอบว่าเครื่องภายในใช้งานเส้นทางที่เข้ารหัสจริง

  1. บนคอมพิวเตอร์ของคุณ ให้แน่ใจว่าการตั้งค่า DNS คือ IP ของเราเตอร์ MikroTik
  2. เปิดเบราว์เซอร์และไปที่ Cloudflare’s Help Page
  3. รอผลทดสอบจนเสร็จ ดูบรรทัดที่เขียนว่า: “Using DNS over HTTPS (DoH)” ซึ่งควรแสดงเป็น Yes

check if everything went well on cloudflare site

แก้ไขปัญหาและเฝ้าระวัง

หากเว็บไซต์ไม่โหลด คุณสามารถดูการสื่อสาร DoH ผ่านบันทึกของ MikroTik เพื่อตรวจสอบข้อผิดพลาด handshake หรือตัดการเชื่อมต่อ

  • ตรวจสอบบันทึก: ใช้คำสั่งในเทอร์มินัลเพื่อดูเหตุการณ์เฉพาะ DoH:
    Terminal window
    /log print where message~"doh"
  • ข้อผิดพลาดทั่วไป: หากมีข้อความ “SSL error” ให้ตรวจสอบ System > Clock ใหม่ ความต่างของเวลาสองสามนาทีอาจทำให้ใบรับรองผิดพลาดได้

MKController ช่วยอย่างไร: การตั้งค่าความเป็นส่วนตัวแบบนี้ในสำนักงานหลายแห่งหรือไซต์ลูกค้ามีความท้าทายมาก MKController ช่วยคุณผลักดันการตั้งค่า DoH และใบรับรอง Root CA ให้กับเราเตอร์ทั้งหมดพร้อมกันได้ นอกจากนี้ถ้าใบรับรองหมดอายุหรือเวลาของเครื่องระยะไกลผิดพลาด แดชบอร์ดจะส่งแจ้งเตือนทันที ช่วยแก้ปัญหาก่อนลูกค้าขาดการเชื่อมต่อ

เกี่ยวกับ MKController

หวังว่าสิ่งที่นำเสนอมาจะช่วยให้คุณใช้งาน Mikrotik และจักรวาลอินเทอร์เน็ตได้ดีขึ้น! 🚀
ไม่ว่าคุณจะปรับแต่งค่าหรือแค่ต้องการควบคุมความยุ่งเหยิงในเครือข่าย MKController พร้อมช่วยให้ชีวิตคุณง่ายขึ้น

ด้วยการจัดการผ่านคลาวด์แบบรวมศูนย์ อัปเดตความปลอดภัยอัตโนมัติ และแดชบอร์ดที่ใครก็ใช้งานได้ เราพร้อมพัฒนาองค์กรของคุณ

👉 ทดลองใช้งานฟรี 3 วันตอนนี้ ที่ mkcontroller.com — แล้วดูว่าการควบคุมเครือข่ายที่ง่ายดายเป็นอย่างไรจริง ๆ