Normaler DNS-Traffic ist per default IMMER unverschlüsselt.
Somit ist das Mitlesen/Mitschneiden von DNS-Traffic für „Interessierte“ eine Leichtigkeit.

Potenziell hat also jeder, der zwischen Client und DNS-Server sitzt (bspw. dein Internet-Service-Provider) die Möglichkeit, deinen kompletten DNS-Traffic(!) mitzuschneiden, auszuwerten und ggf. weiterzuverkaufen.

Somit weiß der „Interessierte“ auch, welche Webseiten du aufrufst.

Auf Grund Bedenken, was die Privatsphäre angeht, wurden unterschiedliche Lösungen erarbeitet.

DNS over TLS (kurz DoT – RFC7858) und DNS over HTTPS (DoH – RFC8484).

In diesem Tutorial zeigen wir dir, wie die Server vom US-Amerikanischen Unternehmen Cloudflare als Resolver in deinem Mikrotik eintragen kannst.

Wer jetzt denkt „Firma aus den USA? Ich bin doch nicht lebensmüde!„.
Keine Angst – die Anleitung kann meist ohne große Änderungen auch für andere DoH Resolver genutzt werden.

Vorab muss sichergestellt sein, dass dein Mikrotik Zugriff auf das Internet hat.

Sofern dein Mikrotik-Server keine Upstream-DNS Server hinterlegt hat (/ip -> DNS oder /ip /dhcp-client „Use Peer DNS“) – tragen wir zunächst die DNS-Server von Cloudflare als „normale“ Upstream DNS-Server ein – Die Kommunikation zwischen Mikrotik und DNS-Server ist also unverschlüsselt.

/ip dns set servers=1.0.0.1,1.1.1.1

Bevor wir nun auf DNS over HTTPS umstellen können, müssen wir auf unserem Mikrotik einmal die aktuellsten CA (Certificate Authority)-Zertifikate einspielen.

Zuerst der Download:

/tool fetch url=https://curl.se/ca/cacert.pem

Terminal-Output:

[admin@MikroTik_hAP]> /tool fetch url=https://curl.se/ca/cacert.pem
status: finished
downloaded: 210KiBz pause]
total: 210KiB
duration: 1s

Anschließend importieren wir den sog. CA-Store: (Kann je nach Gerät einige Sekunden dauern)

/certificate import file-name=cacert.pem passphrase=""

Terminal-Output:

[admin@MikroTik_hAP] > /certificate import file-name=cacert.pem passphrase=""
certificates-imported: 137
private-keys-imported: 0
files-imported: 0
decryption-failures: 0
keys-with-no-certificate: 0

Nachdem der Mikrotik nun über die aktuellsten CA Zertifikate verfügt, hinterlegen wir die Cloudflare DNS-Server als DoH Resolver:

/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

Anschließend räumen wir einmal den lokalen Flash auf:

/file/remove cacert.pem

und löschen ggf. hinterlegte DNS-Server aus den Einstellungen:

/ip dns set servers=""

Achtung: Sofern ihr die Option „use-peer-dns=yes“ aktiviert habt, MUSS diese auf „no“ gesetzt werden – andernfalls wird der Peer-DNS genutzt:

/ip dhcp-client set use-peer-dns=no

Bei einer „numbers“-Abfrage, die entsprechende Nummer eintragen. (Bspw. 0)

Ggf. für IPv6 wiederholen:

/ipv6/dhcp-client/set use-peer-dns=no

Bei einer „numbers“-Abfrage, die entsprechende Nummer eintragen. (Bspw. 0)

Bei LTE-Geräten (Chateau und Co):

/interface lte apn set use-peer-dns=no

Bei einer „numbers“-Abfrage, die entsprechende Nummer eintragen. (Bspw. 0)

Prüfung:

Die Prüfung gestaltet sich relativ einfach.
Via Winbox das Tool „Torch“ öffnen und entsprechendes WAN-Interfaces auswählen (Bei mir ether1) und den „Entry Timeout“ auf 00:01:00 setzen – anschließend „Start drücken“

Anschließend via Terminal einen DNS Lookup durchführen:

put [:resolve mikrotik-blog.com]

Terminal-Output:

[admin@MikroTik_hAP]> put [:resolve mikrotik-blog.com]
185.26.156.203

und via Torch den Traffic prüfen: