Wie bereits in Cloudflare als DoH (DNS over HTTPS) Resolver unter Mikrotik RouterOS 7  gezeigt, können wir unter Mikrotik auch DNS-Upstream Server nutzen, die via HTTPS eine verschlüsselte DNS-Kommunikation ermöglichen.

In diesem Tutorial setzen wir statt der Server von Cloudflare die DNS-Server von Google als unsere DNS over HTTPS Upstream Servers. Somit stellen wir sicher, dass unsere Kommunikation mit DNS-Servern ab sofort nur noch verschlüsselt erfolgt.

Download der CA-Zertifikate:

[admin@MikroTik_hAP] > /tool fetch url=https://curl.se/ca/cacert.pem
status: finished
downloaded: 210KiBz pause]
total: 210KiB
duration: 1s

Import der CA-Zertifikate:

[admin@MikroTik_hAP] > /certificate import file-name=cacert.pem passphrase=""
certificates-imported: 137
private-keys-imported: 0
files-imported: 0
decryption-failures: 0
keys-with-no-certificate: 0

Setzen des DoH Servers:

/ip dns set use-doh-server=https://8.8.8.8/dns-query verify-doh-cert=yes

Abschaltung der Option „use-peer-dns“
Sofern ihr euren DNS-Server derzeit über einen DHCP-Client bezieht, muss diese Option deaktiviert werden.

IPv4:

[admin@MikroTik_hAP] > /ip/dhcp-client/set use-peer-dns=no
numbers: 0

IPv6:

[admin@MikroTik_hAP] > /ipv6/dhcp-client/set use-peer-dns=no
numbers: 0

Für LTE-Geräte, wie bspw. den Mikrotik Chateau, folgendes Kommando verwenden:

/interface lte apn set use-peer-dns=no

Prüfung, ob DNS over HTTPS korrekt funktioniert:
Via Winbox das Tool “Torch” öffnen und entsprechendes WAN-Interfaces auswählen (Bei mir ether1) und den “Entry Timeout” auf 00:01:00 setzen – anschließend “Start drücken”

Anschließend via Terminal einen DNS Lookup durchführen:

put [:resolve mikrotik-blog.com]

Terminal-Output:

[admin@MikroTik_hAP]> put [:resolve mikrotik-blog.com]
185.26.156.203

Prüfung via Torch (Winbox: Tools -> Torch)

Die Ausgabe von Torch bestätigt, dass DNS nun via Port 443 (statt 53) erfolgt.
Die Kommunikation mit den Google DNS-Servern erfolgt ab sofort verschlüsselt.