В этой статье мы рассмотрим настройку DNS over HTTPS (DoH) на роутере Mikrotik. DoH был добавлен в релиз RouterOS начиная с версии 6.47. И предназначен для выполнения разрешения ДНС-запросов по https.
Содержание
DNS over HTTPS. Краткое описание
Основная проблема заключается в том, что запросы от клиента до сервера передаются в открытом виде, без шифрования и могут проходить через множество посредников (провайдер, firewall).
Получается, что у провайдера есть возможность хранить и анализировать историю запрошенных вами сайтов. Блокировать или модифицировать запросы, встраивая рекламу партнеров, запрещать доступ на определенные ресурсы. А также этим могут воспользоваться злоумышленники, пропуская веб-трафик через себя, таким образом, получая отправленные пользователем конфиденциальные данные (логин, пароль и т.д.). Такой тип атаки называется «человек посередине (MITM)».
DNS over HTTPS(DoH) — технология, которая повышает безопасность и надежность подключения ДНС используя для шифрования передаваемых данных протокол HTTPS.
Протокол DoH разрабатывался для браузеров. Поэтому трафик от пользовательского приложения по HTTPS попадает к поддерживающему DoH resolver, минуя DNS настройки операционной системы, внутренней сети, интернет-провайдера и посредников. Остальной трафик идет через базовый DNS.
Настройка Mikrotik DoH
Сегодня можно выделить две компании, предлагающие публичные DNS-резолверы с поддержкой DoH:
- Cloudflare. Плюсом этой компании является обещание не передавать данные пользователей третьим сторонам и удалять журналы запросов по истечении суток;
- Google.
Проверка версии RouterOS
Как упоминалось выше, настраиваемый функционал появился в RouterOS v6.47, проверим версию прошивки. Перейдем:
- System => Resources.
Если версия ниже 6.47, то необходимо выполнить обновление прошивки Mikrotik.
Отключить динамический DNS
При подключении к интернет-провайдеру DHCP или PPPoE клиентом, “по умолчанию” настройки DNS назначаются автоматически. Для правильной работы DoH эту функцию нужно отключить:
Загрузка Корневых сертификатов
Для того чтобы проверять подлинность ДНС-запросов, нужно установить сертификат корневого центра сертификации.
Cloudflare
Серверы компании подписаны сертификатом DigiCert Global Root CA. Переходим по ссылке и скачиваем:
Для серверов Гугл качаем отсюда:
Mikrotik DoH. Настройка конфигурации Cloudflare
Приступим непосредственно к настройке. Для начала перенесем ранее скаченный файл сертификата в любую часть рабочего поля программы Winbox:
Следующим шагом импортируем файл:
- System => Certificates => import;
- Выбираем загруженный файл. Импортируем:
Из консоли
Чтобы скачать и импортировать сертификат из командной строки, откроем терминал:
- Введем команды:
Переходим:
- IP => DNS;
- Удаляем ранее назначенные ДНС серверы;
- Прописываем адрес DoH Сервера Cloudflare;
- Ставим «галочку» верифицировать DoH Сертификат.
На этом настройка закончена.
Mikrotik DoH. Настройка конфигурации Google
Конфигурирование производится аналогичным образом, но есть одно небольшое отличие, о котором поговорим ниже. Начнем с импорта сертификата:
Так как сервера Google не воспринимают IP-адрес в запросе, нужно задать его соответствие к доменному имени вручную.
- Создаем статическую запись:
- Name: dns.google;
- Address: 8.8.8.8, 8.8.4.4;
- Назначим настройки DoH:
Проверка
Чтобы проверить правильно ли вы настроили DoH на маршрутизаторе Mikrotik, перейдем на специальную страницу Clouflare:
И также можно запустить torch на интерфейсе WAN. Соединений по 53 порту tcp или udp не должно быть.
Заключение
Мы узнали, как на маршрутизаторе Mikrotik настроить DNS поверх HTTPS используя публичные серверы Clouflare или Google. Надеемся статья была познавательной и полезной! Для более полного понимания работы ДНС, рекомендуем статью Mikrotik настройка DNS.