MikroTik поддерживает DNS over HTTPS (DoH)

[Дмитрий]

MikroTik поддерживает DNS over HTTPS (DoH)

Начиная со стабильной версии 6.47 MikroTik поддерживает DNS over HTTPS (DoH).
Далее краткая инструкция по настройке с проверкой сертификата сервера на примере Cloudflare.

1) Импортируем сертификат DigiCert Global Root CA в хранилище сертификатов роутера:

Код: You are not allowed to view links. Register or Login

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem

Код: You are not allowed to view links. Register or Login

/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
2) В поле Use DoH Server пишем You are not allowed to view links. Register or Login и ставим галку Verify DoH Certificate:

Код: You are not allowed to view links. Register or Login

/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
3) Убираем все существующие DNS-сервера, чтобы поля Servers и Dynamic Servers (из DHCP Client) были пустыми
и все запросы шли через DNS over HTTPS   (не обязательно для 6.47.1+).

Код: You are not allowed to view links. Register or Login

/ip dns set servers=""

Можете использовать других поставщиков DoH,  например, 9.9.9.9    You are not allowed to view links. Register or Login

У вас уже есть они все в корневом сертификате

Код: You are not allowed to view links. Register or Login

/ip dns set use-doh-server=https://dns.quad9.net/dns-query verify-doh-cert=yes
/ip dns set servers=""
Подробнее смотрим все на сайте You are not allowed to view links. Register or Login


И еще немного DoH от NextDNS

Quick command line setup for NextDNS:

/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem
/ip dns set servers=
/ip dns static add name=dns.nextdns.io address=45.90.28.0 type=A
/ip dns static add name=dns.nextdns.io address=45.90.30.0 type=A
/ip dns static add name=dns.nextdns.io address=2a07:a8c0:: type=AAAA
/ip dns static add name=dns.nextdns.io address=2a07:a8c1:: type=AAAA
/ip dns set use-doh-server=“https://dns.nextdns.io/ID” verify-doh-cert=yes

1) get your ID on my.nextdns.io
2) enter your ID to use-doh-server=“https://dns.nextdns.io/ID”

Redirect DNS queries to router:

/ip firewall nat add chain=dstnat action=redirect protocol=tcp dst-port=53
/ip firewall nat add chain=dstnat action=redirect protocol=udp dst-port=53

Детальнее на You are not allowed to view links. Register or Login от самих MikroTik

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

DoH OpenDNS

если у кого-то вдруг совсем недавно отвалился DoH OpenDNS:
они сменили издателя сертификатов DigiCertGlobalRootCA → IdenTrust Commercial Root CA 1
Решение: импорт всех корневых (Mozilla CCADB)

Код: You are not allowed to view links. Register or Login

{
/tool fetch "https://ccadb-public.secure.force.com/mozilla/IncludedRootsPEMTxt?TrustBitsInclude=Websites" output=file check-certificate=no dst-path=/Common-CA-DB-IncludedRoots.pem

/certificate import file-name=Common-CA-DB-IncludedRoots.pem name=CCADBRoots passphrase=""
}
DoH OpenDNS update:

Код: You are not allowed to view links. Register or Login

# Import Mozilla CCADB Roots
:do {
    :do {/tool fetch "https://ccadb-public.secure.force.com/mozilla/IncludedRootsPEMTxt?TrustBitsInclude=Websites" output=file check-certificate=no dst-path=/Common-CA-DB-IncludedRoots.pem} \
        while=([/file print count-only where name="Common-CA-DB-IncludedRoots.pem"]=0);
    :do {/certificate import file-name=Common-CA-DB-IncludedRoots.pem name=CCADBRoots passphrase=""} \
        if=([/certificate print count-only where name="Common-CA-DB-IncludedRoots.pem"]=0);
}