Настройка DNS DOH на роутере Mikrotik

Всем привет!!!

Настройка DNS-over-HTTPS (DoH) на MikroTik RouterOS позволяет шифровать DNS-запросы, повышая конфиденциальность и безопасность и просто это модно.

Я понимаю, что таких статей много, но я делаю ее для себя, а если вам пригодится, то тоже будет не плохо. Вообще я использую Adguard Home. Этот DNS сервер не только поддерживает DOH, но и может блокировать нежелательные домены.

Введение

DNS-over-HTTPS (DoH) — это протокол, который шифрует DNS-запросы, передавая их через HTTPS (защищенный протокол HTTP). Это повышает конфиденциальность и безопасность, предотвращая перехват или подмену DNS-запросов третьими лицами, такими как интернет-провайдеры или хакерыы.

С версии RouterOS v6.47 доступна функция DNS over HTTPS (DoH). DoH использует протокол HTTPS для отправки и получения DNS-запросов для повышения безопасности данных. Основная задача — обеспечение конфиденциальности путём предотвращения атак «человек посередине» (MITM).

В настоящее время DoH не совместим со статическими записями типа FWD, поэтому для использования записей FWD необходимо отключить DoH.

Я буду показывать на примере Quad9 и RouterOS 7.17.2

Настройка стандартного DNS-сервера

Пожалуйста, обратите внимание, что вам нужен как минимум один стандартный DNS-сервер, настроенный для вашего роутера, чтобы разрешить само имя хоста DoH.

Для работы DNS-over-HTTPS (DoH) на MikroTik необходимо, чтобы роутер мог разрешить имя хоста DoH-сервера (dns.quad9.net). Для этого требуется хотя бы один стандартный DNS-сервер, настроенный на роутере. Если у вас еще не настроены DNS-серверы, выполните следующие шаги:

1. Перейдите в IP > DNS.
2. В поле Servers укажите IP-адреса стандартных DNS-серверов. Например:
   • Cloudflare: 1.1.1.1 и 1.0.0.1
   • Google: 8.8.8.8 и 8.8.4.4
   • Quad9: 9.9.9.9 и 149.112.112.112
   • Yandex: 77.88.8.8 и 77.88.8.1
3. Убедитесь, что опция Allow Remote Requests включена, если вы не хотите разрешать DNS-запросы от внешних клиентов.
4. Нажмите Apply.

Этим сервером может быть, в том числе DNS сервер вашего провайдера

/ip dns set servers=1.1.1.1

Популярные DoH-серверы

1. Cloudflare
   • URL: https://security.cloudflare-dns.com/dns-query
   • Альтернативный URL: https://1.0.0.1/dns-query
   • Поддерживает высокую скорость и конфиденциальность.
2. Google
   • URL: https://dns.google/dns-query
   • Альтернативный URL: https://8.8.4.4/dns-query
   • Надежный, но может собирать данные для аналитики.
3. Quad9
   • URL: https://dns.quad9.net/dns-query
   • Альтернативный URL: https://149.112.112.112/dns-query
   • Блокирует вредоносные домены.
4. OpenDNS
   • URL: https://doh.opendns.com/dns-query
   • Поддерживает фильтрацию контента.
5. AdGuard
   • URL: https://dns.adguard-dns.com/dns-query
   • Блокирует рекламу и трекеры.
6. NextDNS
   • URL: https://dns.nextdns.io/<your-config-id>
   • Поддерживает кастомизацию и блокировку рекламы.
7. CleanBrowsing
   • URL: https://doh.cleanbrowsing.org/doh/family-filter/
   • Фильтрует нежелательный контент.

Вот еще список популярных DNS серверов.

Импорт сертификата

Начиная с версии 7.19 от 2025-05-22 появилось встроенное хранилище корневых сертификатов, поэтому вручную ничего делать не надо.

Взято отсюда

При обновлении со старой версии RouterOS встроенные корневые сертификаты по умолчанию не являются доверенными.

Чтобы избежать указанной ошибки SSL в первую очередь нужно активировать использование встроенных сертификатов командой:

/certificate/settings/set builtin-trust-anchors=trusted

!При этом нужно удалить ранее импортированные вручную сертификаты которые теперь есть во строенном хранилище!

Теперь это так же исключает вас искать и загружать сертификаты для настройки различных серверов DoH.

При используете DNS-over-HTTPS (DoH) в MikroTik с включенной опцией Verify (проверка сертификата), вам необходимо загрузить корневой сертификат (CA certificate) для проверки подлинности сертификата DoH-сервера. Это важно для обеспечения безопасности и предотвращения атак «человек посередине» (MITM).

Получите корневой сертификат

• Корневые сертификаты можно скачать с официального сайта удостоверяющего центра (CA), например:
  • ISRG Root X1 (Let’s Encrypt): https://letsencrypt.org/certificates/
  • DigiCert: https://www.digicert.com/kb/digicert-root-certificates.htm
  • Cloudflare: Использует сертификаты Let’s Encrypt или DigiCert.
• Скачайте корневой сертификат в формате .crt или .pem.

Загрузите сертификат в MikroTik

1. Перейдите в System > Certificates.
2. Нажмите Import, выберите файл сертификата и загрузите его.
3. После загрузки сертификат появится в списке. Убедитесь, что он отмечен как trusted(доверенный).

/tool fetch url="https://cacerts.digicert.com/DigiCertGlobalG3TLSECCSHA3842020CA1-1.crt.pem"
/certificate set [find name="DigiCertGlobalG3TLSECCSHA3842020CA1-1.crt.pem"] trusted=yes
/certificate import file-name=DigiCertGlobalG3TLSECCSHA3842020CA1-1.crt.pem

Настройка DoH с проверкой сертификата

1. Перейдите в IP > DNS > DoH.
2. Создайте новый DoH-резолвер:
   • Укажите URL: https://dns.quad9.net/dns-query
   • Установите Verify в yes.
3. MikroTik автоматически использует загруженные доверенные корневые сертификаты для проверки.

/ip dns set use-doh-server=https://dns.quad9.net/dns-query verify-doh-cert=yes

Проверка разрешения имен

Я не нашел команды nslookup в RouterOS, поэтому проверку сделал простой командой ping.

ping ya.ru

Убедитесь, что запрос выполняется успешно, и вы получаете IP-адрес.

Примечания

• Если вы используете Verify=yes, убедитесь, что корневой сертификат DigiCert загружен и доверен (см. предыдущие инструкции).
• Если у вас возникают проблемы с разрешением имен, проверьте, что стандартные DNS-серверы работают корректно.
• После настройки DoH стандартные DNS-серверы будут использоваться только для начального разрешения имени хоста DoH-сервера, а все последующие запросы будут выполняться через DoH.

Теперь ваш MikroTik будет использовать Quad9 через DoH с поддержкой стандартных DNS-серверов для начального разрешения имен.

Полезные ссылки:

• https://help.mikrotik.com/docs/pages/viewpage.action?pageId=83099652#DNS-DNSoverHTTPS(DoH)
• https://docs.quad9.net/Setup_Guides/Open-Source_Routers/MikroTik_RouterOS_%28Encrypted%29/

Рекомендую также ознакомиться с настройкой защиты от DDOS