Kategorier
Internet IT-säkerhet MikroTik

MikroTik – DNS over HTTPS (DoH)

MikroTik kan nu skydda din onlineaktivitet genom att kryptera din DNS-trafik. Detta gäller från RouterOS 6.47. RFC 8484 heter standarden om man vill kika närmre på DoH.

DNS over HTTPS (DoH) är ett protokoll för att utföra fjärrkontroll av Domain Name System via HTTPS-protokollet. Ett mål med metoden är att öka användarnas integritet och säkerhet genom att förhindra avlyssning och manipulering av DNS-data genom man-in-the-middle-attacker med hjälp av HTTPS-protokollet för att kryptera data mellan DoH-klienten och den DoH-baserade DNS-resolvern.

Denna setup kommer att sätta din MikroTik-router att använda CloudFlare DNS-over-HTTPS DoH-servrar och gör en transparent-dns-proxy för all okrypterad UDP 53-trafik för ditt LAN-nätverk.

Du aktiverar DoH genom dessa fyra steg.

  1. Ladda ner DigiCert Root CA certifikat
  2. Installera DigiCert Root CA certifikat
  3. Ändra DNS-servrar
  4. Skapa NAT-regel för Transparent proxy, samt alla DNS-uppslag från ditt LAN via din router mot DoH-servrar
/tool fetch https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem check-certificate=no
/certificate import file-name="DigiCertGlobalRootCA.crt.pem" passphrase="" name="DigiCertGlobalRootCA.crt.pem"
/ip dns set servers= /ip dns set use-doh-server="https://1.1.1.1/dns-query" verify-doh-cert=yes
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 in-interface-list=LAN action=redirect

Bra att veta och något jag tidigare har haft som default avstängt är DNS remote requests. Dina inställningar här bör vara enligt bilden.

När du är klar med din setup för DoH kan du besöka https://1.1.1.1/help/ för att kontrollera att dina inställningar slagit igenom. Du ska nu få ett svar enligt bilden.

Och, som alltid innan du börjar labba så tar du en backup på din router om något går snett.

Lycka till!

Sprid ordet...