1. 首页
  2. 网关
  3. 在 RouterOS 上配置 DNS over HTTPS

在 RouterOS 上配置 DNS over HTTPS

DNS over HTTPS 在安全性和隐私性上早已击败了传统的 DNS 查询。但是,配合 TLS 1.3 和 HTTP/2,DNS over HTTPS 在性能上也将彻底打败传统 DNS 查询。

在网关上配置 DNS over HTTPS 可以使得家庭或办公网络中的所有设备都能享受到 DNS over HTTPS 带来的优势并且无需特别的升级或兼容性补丁。

目前,MikroTik 的 RouterOS 在 6.47 或更高版本已经正式支持了 DNS over HTTPS。

不受支持 – 第三方内容 / 非核心服务

此文档中的一个或多个内容(包括硬件 / 软件或服务)属于第三方内容或属于 rixCloud 非核心服务,这将不包含在 rixCloud 支持服务内。


部署前准备

本文档的部署教程将以 Winbox 的操作为主。

首先需要确认你的 RouterOS 版本已经高于或等于 6.47 版本。

然后,你需要为 RouterOS 安装根证书,以便 RouterOS 可以正确地处理 HTTPS 连接。通过 SSH 连接到 RouterOS 或者在 Winbox / WebGUI 中打开 Terminal 并输入:

(如果你不希望导入过多证书,也可以只导入 rixCloud DNS over HTTPS 服务使用的 DigiCert CA。请查看文章底部的额外信息。)

/tool fetch url=https://curl.haxx.se/ca/cacert.pem

/certificate import file-name=cacert.pem passphrase=""

这是两行命令,你需要分别复制并分两次粘贴(输入)。

你可以前往 System > Certificates 查看:


部署 DNS over HTTPS

前往 IP > DNS 的设置,在 User DoH Server 中输入:

https://doh.rixcloud.dev/dns-query

并勾选「Verify DoH Certificate」选项,如下图所示。

然后,点击「Static」按钮,为 DoH 服务器指定静态 IP 地址。

doh.rixcloud.dev 添加两条 A 记录解析,分别指向 IP 地址:

106.15.218.230
106.15.218.235

为了使得你的局域网设备可以使用 RouterOS 作为 DNS,你还需要勾选「Allow Remote Requests」的复选项。此外,你还应当配置 DHCP 服务器将 RouterOS 的内网 IP 作为 DNS 下发,但如何进行此操作不属于本文档覆盖的范畴。

保存所有内容,现在已经配置完成。


验证是否正确使用 DNS over HTTPS

运行 Tools > Torch 实用程序,勾选「Port」和「Protocol」复选框并开始监控。你应该不再看到任何发送到 53 端口的 TCP 或 UDP 请求,并且应当查看到发送到 106.15.218.230 和(或)106.15.218.235 的 HTTPS 请求。


仅导入 DigiCert Global Root CA

如果不希望在 RouterOS 导入所有的根证书,则你可以使用以下命令:

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem

/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""

中国大陆用户可以使用:

/tool fetch url=https://cdn.cn.rixcloud.io/rixCloud/digicertca.pem

/certificate import file-name=digicertca.pem passphrase=""
更新 六月 5, 2020

相关文章

发表评论