Bỏ qua nội dung
Blog

Cách Cấu Hình DNS qua HTTPS (DoH) trên MikroTik RouterOS v7

Tóm tắt Bảo vệ quyền riêng tư khi duyệt web bằng cách triển khai DNS qua HTTPS (DoH) trên MikroTik RouterOS v7. Hướng dẫn toàn diện này giúp bạn cài đặt chứng chỉ, cấu hình trình phân giải an toàn dùng Cloudflare, và kiểm tra để đảm bảo mọi truy vấn DNS được mã hóa và ẩn khỏi ISP hoặc kẻ tấn công mạng nội bộ.

Cách Cấu Hình DNS qua HTTPS (DoH) trên MikroTik RouterOS v7

Quyền riêng tư không còn là một đặc quyền trong kỷ nguyên số hiện nay; đó là một nhu cầu thiết yếu. Mặc định, hầu hết các router sử dụng DNS chuẩn, truyền các yêu cầu trang web của bạn dưới dạng văn bản thuần. Điều này có nghĩa là Nhà cung cấp Dịch vụ Internet (ISP) hoặc kẻ tấn công trong mạng Wi-Fi tại chỗ có thể theo dõi mọi tên miền bạn truy cập. Để khắc phục, DNS qua HTTPS (DoH) mã hóa các yêu cầu này bằng cùng giao thức với duyệt web an toàn (HTTPS/TLS).

Việc triển khai DoH trên router MikroTik đảm bảo “sổ danh bạ” của Internet được giữ riêng tư. Thay vì gửi yêu cầu qua cổng UDP 53 – nơi dễ bị tấn công, chúng được đóng gói trong kênh mã hóa qua cổng 443.

Yêu Cầu Kỹ Thuật

Trước khi bắt đầu cấu hình, bạn cần kiểm tra các yếu tố quan trọng để kết nối mã hóa không bị lỗi.

1. Đồng Hồ Hệ Thống Chính Xác

Vì DoH dựa trên chứng chỉ SSL/TLS, thời gian trên router phải đúng. Nếu đồng hồ sai, việc xác thực chứng chỉ sẽ thất bại và DNS của bạn hoàn toàn không hoạt động.

  • Vào System > Clock và đảm bảo ngày giờ chính xác.
  • Khuyến nghị: Sử dụng client NTP để tự động đồng bộ thời gian.

2. Phiên Bản RouterOS

Hướng dẫn này dành riêng cho RouterOS v7. Dù một số tính năng DoH tồn tại trong các phiên bản v6 mới hơn, v7 cung cấp sự ổn định và hỗ trợ mã hóa hiện đại cần thiết cho kết nối DoH đáng tin cậy với nhà cung cấp như Cloudflare và Google.

Bước 1: Tải và Nhập Chứng Chỉ

Để xác minh máy chủ Cloudflare là đúng nhà cung cấp, MikroTik của bạn cần Chứng chỉ Root CA. Nếu không có, router không thể tạo “bắt tay” an toàn với máy chủ DNS.

  1. Mở Terminal trong WinBox.
  2. Dùng lệnh fetch để tải Root CA:
    Terminal window
    /tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Nhập chứng chỉ vào kho của router:
    Terminal window
    /certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Xác nhận đã nhập bằng cách vào System > Certificates. Bạn sẽ thấy CA xuất hiện, chứng tỏ router đã tin cậy điểm cuối này.

certificate changed and approved

Bước 2: Cấu Hình Trình Phân Giải DoH

Khi có chứng chỉ, ta tiến hành cấu hình DNS. Chúng ta dùng Cloudflare (1.1.1.1) vì đây là nhà cung cấp nhanh và chú trọng riêng tư.

  1. Vào IP > DNS.
  2. Ở mục Use DoH Server, nhập URL sau: https://1.1.1.1/dns-query
  3. Tích chọn Verify DoH Certificate để router kiểm tra chứng chỉ vừa import.
  4. Đảm bảo chọn Allow Remote Requests để thiết bị trong mạng có thể dùng MikroTik là cổng DNS an toàn.
  5. Dọn dẹp quan trọng: Để bảo mật tối đa, bạn nên thiết lập các thiết bị client dùng IP MikroTik làm DNS thay vì IP bên ngoài.

dns added and configured

Bước 3: Kiểm Tra Trên Client

Dù router được cấu hình, bạn phải đảm bảo thiết bị trong mạng thực sự sử dụng đường truyền được mã hóa.

  1. Trên máy tính, thiết lập DNS là IP MikroTik.
  2. Mở trình duyệt và truy cập Trang Hỗ Trợ Cloudflare.
  3. Chờ kết quả kiểm tra. Tìm dòng: “Using DNS over HTTPS (DoH)” phải hiện Yes.

check if everything went well on cloudflare site

Xử Lý Sự Cố và Giám Sát

Nếu trang web không tải được, bạn có thể theo dõi lưu lượng DoH qua log của MikroTik để xác định lỗi “bắt tay” hoặc hết thời gian kết nối.

  • Kiểm tra log: Gõ lệnh sau trong terminal để xem sự kiện liên quan DoH:
    Terminal window
    /log print where message~"doh"
  • Lỗi phổ biến: Nếu log báo “SSL error,” hãy kiểm tra lại System > Clock. Sai lệch thời gian vài phút cũng có thể khiến chứng chỉ bị coi là không hợp lệ.

MKController hỗ trợ bạn: Việc triển khai cấu hình DoH và Root CA cho nhiều văn phòng hay khách hàng là thách thức lớn. MKController cho phép đẩy nhanh các cấu hình DoH và chứng chỉ CA tới toàn bộ kho thiết bị router cùng lúc. Nếu chứng chỉ hết hạn hoặc đồng hồ trên thiết bị lệch, bảng điều khiển sẽ cảnh báo ngay để bạn xử lý kịp thời, tránh gián đoạn truy cập cho khách hàng.

Về MKController

Hy vọng những chia sẻ trên giúp bạn định hình rõ hơn về Mikrotik và hệ sinh thái Internet của mình! 🚀
Dù bạn đang tinh chỉnh cấu hình hay chỉ muốn quản lý mạng tốt hơn, MKController luôn sẵn sàng giúp bạn đơn giản hóa công việc.

Với nền tảng quản lý đám mây tập trung, cập nhật bảo mật tự động và giao diện thân thiện, chúng tôi có mọi công cụ để nâng cấp hệ thống của bạn.

👉 Bắt đầu dùng thử miễn phí 3 ngày tại mkcontroller.com — trải nghiệm điều khiển mạng không giới hạn thực sự là như thế nào.