Перейти до вмісту
Blog

Як налаштувати DNS через HTTPS (DoH) на MikroTik RouterOS v7

Коротко Захистіть свою приватність перегляду, впровадивши DNS через HTTPS (DoH) на MikroTik RouterOS v7. Цей повний посібник проведе вас через встановлення сертифікатів, налаштування безпечного резолвера з Cloudflare і перевірку, щоб усі запити DNS залишались зашифрованими і прихованими від ISP або атакуючих у локальній мережі.

Як налаштувати DNS через HTTPS (DoH) на MikroTik RouterOS v7

Приватність — вже не розкіш у сучасному цифровому світі, а гостра необхідність. За замовчуванням більшість маршрутизаторів використовують стандартний DNS, який передає ваші запити до сайтів у відкритому вигляді. Це означає, що ваш Інтернет-провайдер (ISP) або навіть зловмисник у вашій локальній Wi-Fi мережі можуть стежити за кожним відвіданим доменом. Щоб це виправити, DNS через HTTPS (DoH) шифрує ці запити, використовуючи той же протокол, що й захищений веб-перегляд (HTTPS/TLS).

Впровадження DoH на вашому MikroTik забезпечує конфіденційність «телефонної книги» інтернету. Замість надсилання запитів по вразливому UDP порту 53 вони передаються через зашифрований тунель по порту 443.

Технічні вимоги

Перед налаштуванням потрібно переконатися в кількох ключових моментах, щоб зашифроване з’єднання не збояло.

1. Точний системний час

Оскільки DoH базується на SSL/TLS сертифікатах, час на маршрутизаторі має бути правильним. Якщо годинник неправильний, перевірка сертифіката не пройде, і DNS повністю перестане працювати.

  • Перейдіть у System > Clock і перевірте коректність дати і часу.
  • Рекомендація: використовуйте NTP-клієнт для автоматичного синхронного оновлення часу.

2. Версія RouterOS

Цей посібник призначений саме для RouterOS v7. Хоча деякі функції DoH з’явилися і в пізніших версіях v6, v7 забезпечує стабільність та підтримку сучасних шифрів, необхідних для надійних DoH-з’єднань із провайдерами як Cloudflare чи Google.

Крок 1: Завантаження та імпорт сертифікатів

Щоб MikroTik міг підтвердити, що сервер Cloudflare справжній, потрібен кореневий сертифікаційний центр (CA). Без нього маршрутизатор не встановить безпечну «рукостискання» з DNS-сервером.

  1. Відкрийте Термінал у WinBox.
  2. Завантажте Root CA за допомогою команди fetch:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Імпортуйте файл у сховище сертифікатів маршрутизатора:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Перевірте імпорт у System > Certificates. Ви маєте побачити CA у списку, підтверджуючи, що маршрутизатор тепер довіряє цьому кінцевому серверу.

certificate changed and approved

Крок 2: Налаштування DoH резолвера

З сертифікатом на місці можна налаштувати DNS. Використаємо Cloudflare (1.1.1.1) — одного з найшвидших та орієнтованих на приватність провайдерів.

  1. Перейдіть у IP > DNS.
  2. В полі Use DoH Server введіть адресу: https://1.1.1.1/dns-query
  3. Позначте пункт Verify DoH Certificate. Це гарантує перевірку імпортованого сертифіката.
  4. Переконайтеся, що увімкнено Allow Remote Requests. Це дозволить пристроям у вашій мережі використовувати MikroTik як безпечний DNS-шлюз.
  5. Важливо: Для максимальної безпеки вкажіть у клієнтах MikroTik як DNS-сервер замість зовнішніх адрес.

dns added and configured

Крок 3: Перевірка на клієнті

Навіть після налаштування маршрутизатора переконайтесь, що локальні пристрої справді користуються зашифрованим шляхом.

  1. На комп’ютері встановіть DNS на IP-адресу вашого MikroTik.
  2. Відкрийте браузер і перейдіть на сторінку допомоги Cloudflare.
  3. Дочекайтеся завершення тесту. Шукайте рядок “Using DNS over HTTPS (DoH)” з результатом Так.

check if everything went well on cloudflare site

Вирішення проблем та моніторинг

Якщо сайти не завантажуються, можна відстежити DoH трафік у логах MikroTik, щоб виявити проблеми з рукостисканням або таймаути.

  • Перевірка логів: у терміналі введіть:
    Terminal window
    /log print where message~"doh"
  • Поширена помилка: якщо у логах з’являється «SSL error», повторно перевірте System > Clock. Різниця часу у кілька хвилин може зробити сертифікат недійсним.

Як допомагає MKController: Масштабувати ці налаштування приватності на численні віддалені офіси чи клієнтські мережі — складне завдання. MKController дозволяє централізовано розгортати конфігурації DoH та Root CA сертифікати на весь парк пристроїв. При закінченні терміну дії сертифікату або зміні часу на віддаленому маршрутизаторі панель одразу надішле сигнал тривоги, щоб встигнути виправити проблему до втрати зв’язку клієнта.

Про MKController

Сподіваємось, поради вище допомогли краще зорієнтуватися у світі MikroTik та інтернету! 🚀
Чи то тонке налаштування, чи впорядкування мережевого хаосу — MKController зробить вашу роботу простішою.

З централізованим хмарним керуванням, автоматичними оновленнями безпеки та панеллю, доступною кожному — ми готові допомогти підняти ваші операції на новий рівень.

👉 Почніть безкоштовний 3-денний тест на mkcontroller.com — і подивіться, яким справжнім є простий контроль мережі.