MikroTik настройка DoH (DNS поверх HTTPS)

В этой статье мы рассмотрим настройку DNS over HTTPS (DoH) на роутере Mikrotik. DoH был добавлен в релиз RouterOS начиная с версии 6.47. И предназначен для выполнения разрешения ДНС-запросов по https.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

DNS over HTTPS. Краткое описание

Основная проблема заключается в том, что запросы от клиента до сервера передаются в открытом виде, без шифрования и могут проходить через множество посредников (провайдер, firewall).

Путь запроса от клиента до сервера

Получается, что у провайдера есть возможность хранить и анализировать историю запрошенных вами сайтов. Блокировать или модифицировать запросы, встраивая рекламу партнеров, запрещать доступ на определенные ресурсы. А также этим могут воспользоваться злоумышленники, пропуская веб-трафик через себя, таким образом, получая отправленные пользователем конфиденциальные данные (логин, пароль и т.д.). Такой тип атаки называется «человек посередине (MITM)».

DNS over HTTPS(DoH) — технология, которая повышает безопасность и надежность подключения ДНС используя для шифрования передаваемых данных протокол HTTPS.

Протокол DoH разрабатывался для браузеров. Поэтому трафик от пользовательского приложения по HTTPS попадает к поддерживающему DoH resolver, минуя DNS настройки операционной системы, внутренней сети, интернет-провайдера и посредников. Остальной трафик идет через базовый DNS.

Настройка Mikrotik DoH

Сегодня можно выделить две компании, предлагающие публичные DNS-резолверы с поддержкой DoH:

  • Cloudflare. Плюсом этой компании является обещание не передавать данные пользователей третьим сторонам и удалять журналы запросов по истечении суток;
  • Google.

Проверка версии RouterOS

Как упоминалось выше, настраиваемый функционал появился в RouterOS v6.47, проверим версию прошивки. Перейдем:

  • System => Resources.

Если версия ниже 6.47, то необходимо выполнить обновление прошивки Mikrotik.

Отключить динамический DNS

При подключении к интернет-провайдеру DHCP или PPPoE клиентом, “по умолчанию” настройки DNS назначаются автоматически. Для правильной работы DoH эту функцию нужно отключить:

Загрузка Корневых сертификатов

Для того чтобы проверять подлинность ДНС-запросов, нужно установить сертификат корневого центра сертификации.

Cloudflare

Серверы компании подписаны сертификатом DigiCert Global Root CA. Переходим по ссылке и скачиваем:

Google

Для серверов Гугл качаем отсюда:

Mikrotik DoH. Настройка конфигурации Cloudflare

Приступим непосредственно к настройке. Для начала перенесем ранее скаченный файл сертификата в любую часть рабочего поля программы Winbox:

Следующим шагом импортируем файл:

  • System => Certificates => import;
  • Выбираем загруженный файл. Импортируем:

Из консоли

Чтобы скачать и импортировать сертификат из командной строки, откроем терминал:

  • Введем команды:

Переходим:

  • IP => DNS;
  • Удаляем ранее назначенные ДНС серверы;
  • Прописываем адрес DoH Сервера Cloudflare;
  • Ставим «галочку» верифицировать DoH Сертификат.
Использовать DoH Cloudflare Server

На этом настройка закончена.

Mikrotik DoH. Настройка конфигурации Google

Конфигурирование производится аналогичным образом, но есть одно небольшое отличие, о котором поговорим ниже. Начнем с импорта сертификата:

Так как сервера Google не воспринимают IP-адрес в запросе, нужно задать его соответствие к доменному имени вручную.

  • Создаем статическую запись:
  • Name: dns.google;
  • Address: 8.8.8.8, 8.8.4.4;
  • Назначим настройки DoH:
Использовать DoH Google Server

Проверка

Чтобы проверить правильно ли вы настроили DoH на маршрутизаторе Mikrotik, перейдем на специальную страницу Clouflare:

Проверка работы DNS over HTTPS Mikrotik

И также можно запустить torch на интерфейсе WAN. Соединений по 53 порту tcp или udp не должно быть.

А также рекомендуем изучить статьи:

Заключение

Мы узнали, как на маршрутизаторе Mikrotik настроить DNS поверх HTTPS используя публичные серверы Clouflare или Google. Надеемся статья была познавательной и полезной! Для более полного понимания работы ДНС, рекомендуем статью Mikrotik настройка DNS.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Оцените статью
Smartadm.ru
Добавить комментарий

  1. Олег

    Не работает этот вариант , мой провайдер жестко блокирует все варианты обойти его DNS сервера. Либо его днс либо сиди без интернета.

    Ответить
    1. Админ автор

      Здравствуйте. Работало, у себя на стенде настраивал. Замечание принято, на днях проверю — отпишусь

      Ответить
    2. Админ автор

      какой провайдер?

      Ответить
  2. Vit

    Здравстуйте. Настраивал оба варианта. Только почему-то с настройками для Google, на https://1.1.1.1/help, выдает что я не использую DoH (Using DNS over HTTPS (DoH) — No).
    Также пробовал настрйвать и с другими dns, так-же Using DNS over HTTPS (DoH) — No.
    Мне кажется 1.1.1.1/help показывает только в том случае, если подлючен к их DNS.

    Ответить
    1. Админ автор

      здравствуйте. Да все верно, чтобы проверить DoH Google, надо запустить torch на интерфейсе WAN. Соединений по 53 порту tcp или udp не должно быть.

      Ответить