MikroTik поддерживает DNS over HTTPS (DoH)Начиная со стабильной версии 6.47 MikroTik поддерживает DNS over HTTPS (DoH).
Далее краткая инструкция по настройке с проверкой сертификата сервера на примере Cloudflare.
1) Импортируем сертификат DigiCert Global Root CA в хранилище сертификатов роутера:
/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
2) В поле Use DoH Server пишем You are not allowed to view links.
Register or
Login и ставим галку Verify DoH Certificate:
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
3) Убираем все существующие DNS-сервера, чтобы поля Servers и Dynamic Servers (из DHCP Client) были пустыми
и все запросы шли через DNS over HTTPS (не обязательно для 6.47.1+).
/ip dns set servers=""
Можете использовать других поставщиков DoH, например, 9.9.9.9
You are not allowed to view links.
Register or
LoginУ вас уже есть они все в корневом сертификате
/ip dns set use-doh-server=https://dns.quad9.net/dns-query verify-doh-cert=yes
/ip dns set servers=""
Подробнее смотрим все на сайте You are not allowed to view links.
Register or
LoginИ еще немного DoH от NextDNSQuick command line setup for NextDNS:
/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem
/ip dns set servers=
/ip dns static add name=dns.nextdns.io address=45.90.28.0 type=A
/ip dns static add name=dns.nextdns.io address=45.90.30.0 type=A
/ip dns static add name=dns.nextdns.io address=2a07:a8c0:: type=AAAA
/ip dns static add name=dns.nextdns.io address=2a07:a8c1:: type=AAAA
/ip dns set use-doh-server=“https://dns.nextdns.io/ID” verify-doh-cert=yes
1) get your ID on my.nextdns.io
2) enter your ID to use-doh-server=“https://dns.nextdns.io/ID”
Redirect DNS queries to router:
/ip firewall nat add chain=dstnat action=redirect protocol=tcp dst-port=53
/ip firewall nat add chain=dstnat action=redirect protocol=udp dst-port=53
Детальнее на You are not allowed to view links.
Register or
Login от самих MikroTik
You are not allowed to view links.
Register or
LoginYou are not allowed to view links.
Register or
LoginYou are not allowed to view links.
Register or
LoginDoH OpenDNSесли у кого-то вдруг совсем недавно отвалился DoH OpenDNS:
они сменили издателя сертификатов DigiCertGlobalRootCA → IdenTrust Commercial Root CA 1
Решение: импорт всех корневых (Mozilla CCADB)
{
/tool fetch "https://ccadb-public.secure.force.com/mozilla/IncludedRootsPEMTxt?TrustBitsInclude=Websites" output=file check-certificate=no dst-path=/Common-CA-DB-IncludedRoots.pem
/certificate import file-name=Common-CA-DB-IncludedRoots.pem name=CCADBRoots passphrase=""
}
DoH OpenDNS update:
# Import Mozilla CCADB Roots
:do {
:do {/tool fetch "https://ccadb-public.secure.force.com/mozilla/IncludedRootsPEMTxt?TrustBitsInclude=Websites" output=file check-certificate=no dst-path=/Common-CA-DB-IncludedRoots.pem} \
while=([/file print count-only where name="Common-CA-DB-IncludedRoots.pem"]=0);
:do {/certificate import file-name=Common-CA-DB-IncludedRoots.pem name=CCADBRoots passphrase=""} \
if=([/certificate print count-only where name="Common-CA-DB-IncludedRoots.pem"]=0);
}