MikroTik настройка DoH (DNS поверх HTTPS)

В этой статье мы рассмотрим настройку DNS over HTTPS (DoH) на роутере Mikrotik. DoH был добавлен в релиз RouterOS начиная с версии 6.47. И предназначен для выполнения разрешения ДНС-запросов по https.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

DNS over HTTPS. Краткое описание

Основная проблема заключается в том, что запросы от клиента до сервера передаются в открытом виде, без шифрования и могут проходить через множество посредников (провайдер, firewall).

Путь запроса от клиента до сервера

Получается, что у провайдера есть возможность хранить и анализировать историю запрошенных вами сайтов. Блокировать или модифицировать запросы, встраивая рекламу партнеров, запрещать доступ на определенные ресурсы. А также этим могут воспользоваться злоумышленники, пропуская веб-трафик через себя, таким образом, получая отправленные пользователем конфиденциальные данные (логин, пароль и т.д.). Такой тип атаки называется «человек посередине (MITM)».

DNS over HTTPS(DoH) — технология, которая повышает безопасность и надежность подключения ДНС используя для шифрования передаваемых данных протокол HTTPS.

Протокол DoH разрабатывался для браузеров. Поэтому трафик от пользовательского приложения по HTTPS попадает к поддерживающему DoH resolver, минуя DNS настройки операционной системы, внутренней сети, интернет-провайдера и посредников. Остальной трафик идет через базовый DNS.

Настройка Mikrotik DoH

Сегодня можно выделить две компании, предлагающие публичные DNS-резолверы с поддержкой DoH:

  • Cloudflare. Плюсом этой компании является обещание не передавать данные пользователей третьим сторонам и удалять журналы запросов по истечении суток;
  • Google.

Проверка версии RouterOS

Как упоминалось выше, настраиваемый функционал появился в RouterOS v6.47, проверим версию прошивки. Перейдем:

  • System => Resources.

Если версия ниже 6.47, то необходимо выполнить обновление прошивки Mikrotik.

Отключить динамический DNS

При подключении к интернет-провайдеру DHCP или PPPoE клиентом, “по умолчанию” настройки DNS назначаются автоматически. Для правильной работы DoH эту функцию нужно отключить:

Загрузка Корневых сертификатов

Для того чтобы проверять подлинность ДНС-запросов, нужно установить сертификат корневого центра сертификации.

Cloudflare

Серверы компании подписаны сертификатом DigiCert Global Root CA. Переходим по ссылке и скачиваем:

Google

Для серверов Гугл качаем отсюда:

Mikrotik DoH. Настройка конфигурации Cloudflare

Приступим непосредственно к настройке. Для начала перенесем ранее скаченный файл сертификата в любую часть рабочего поля программы Winbox:

Следующим шагом импортируем файл:

  • System => Certificates => import;
  • Выбираем загруженный файл. Импортируем:

Из консоли

Чтобы скачать и импортировать сертификат из командной строки, откроем терминал:

  • Введем команды:

Переходим:

  • IP => DNS;
  • Удаляем ранее назначенные ДНС серверы;
  • Прописываем адрес DoH Сервера Cloudflare;
  • Ставим «галочку» верифицировать DoH Сертификат.
Использовать DoH Cloudflare Server

На этом настройка закончена.

Mikrotik DoH. Настройка конфигурации Google

Конфигурирование производится аналогичным образом, но есть одно небольшое отличие, о котором поговорим ниже. Начнем с импорта сертификата:

Так как сервера Google не воспринимают IP-адрес в запросе, нужно задать его соответствие к доменному имени вручную.

  • Создаем статическую запись:
  • Name: dns.google;
  • Address: 8.8.8.8, 8.8.4.4;
  • Назначим настройки DoH:
Использовать DoH Google Server

Проверка

Чтобы проверить правильно ли вы настроили DoH на маршрутизаторе Mikrotik, перейдем на специальную страницу Clouflare:

Проверка работы DNS over HTTPS Mikrotik

И также можно запустить torch на интерфейсе WAN. Соединений по 53 порту tcp или udp не должно быть.

А также рекомендуем изучить статьи:

Заключение

Мы узнали, как на маршрутизаторе Mikrotik настроить DNS поверх HTTPS используя публичные серверы Clouflare или Google. Надеемся статья была познавательной и полезной! Для более полного понимания работы ДНС, рекомендуем статью Mikrotik настройка DNS.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Оцените статью
Smartadm.ru
Добавить комментарий

  1. Олег

    Не работает этот вариант , мой провайдер жестко блокирует все варианты обойти его DNS сервера. Либо его днс либо сиди без интернета.

    Ответить
    1. Админ автор

      Здравствуйте. Работало, у себя на стенде настраивал. Замечание принято, на днях проверю — отпишусь

      Ответить
    2. Админ автор

      какой провайдер?

      Ответить
  2. Vit

    Здравстуйте. Настраивал оба варианта. Только почему-то с настройками для Google, на https://1.1.1.1/help, выдает что я не использую DoH (Using DNS over HTTPS (DoH) — No).
    Также пробовал настрйвать и с другими dns, так-же Using DNS over HTTPS (DoH) — No.
    Мне кажется 1.1.1.1/help показывает только в том случае, если подлючен к их DNS.

    Ответить
    1. Админ автор

      здравствуйте. Да все верно, чтобы проверить DoH Google, надо запустить torch на интерфейсе WAN. Соединений по 53 порту tcp или udp не должно быть.

      Ответить
  3. Дмитрий

    Здравствуйте! Настроил DNS Clouflare. Проверка прошла успешна, а реклама не блокируется. Почему?

    Ответить
  4. Дмитрий

    Здравствуйте! Почему два этих способа не блокируют рекламу?

    Ответить
    1. Админ автор

      Здравствуйте. О какой рекламе идет речь?

      Ответить
  5. flowwolf

    Перед проверкой нужно ещё очистить кэш на микротике командой «ip dns cache flush» и на ПК с которого проверяете командой «ipconfig /flushdns» — иначе проверка может не особо удачной быть.

    Ответить
    1. Админ автор

      Здравствуйте. Спасибо за комментарий

      Ответить
  6. Алёша

    /tool fetch url=https://curl.se/ca/cacert.pem
    /certificate import file-name=cacert.pem passphrase=»»
    /ip dns static add address=8.8.8.8 name=dns.google
    /ip dns static add address=8.8.4.4 name=dns.google
    /ip dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yes

    Ответить
  7. Ignacio

    Cloudflare кидает на московские сервера (DME). Это можно изменить?

    Ответить