Mikrotik – RouterOS ab v6.47 – DNS over HTTPS – DoH
Von vielen sehnlichst erwartet ist nun auch im RouterOS, ab der stable Version 6.47, DNS over HTTPS verfügbar.
Das Menü ist hier zu finden:
IP > DNS
Wozu dient DNS over HTTPS?
DNS-Anfragen werden genutzt um z.B. „www.google.de“ in die Server-IP von dem entsprechenden Google-Dienst aufzulösen. Je nachdem welche DNS-Server ihr nutzt, kann diese Anfrage mitgelesen und oder manipuliert werden (MITM – Man in the Middle-Angriffe). Um dies zu verhindern, gibt es DoH. Hierbei werden die Anfragen verschlüsselt an den DNS-Server geschickt und können so nicht manipuliert oder mitgelesen werden.
Welcher DNS-Dienst ist am schnellsten
Der aktuell schnellste, frei verfügbare DNS-Server ist der von Cloudflare bereitgestellte DNS-Server-Dienst mit der einfach zu merkenden IP (die mittleren Antwortzeiten liegen hier bei ca 18ms):
1.1.1.1
Wie richtet man DNS over HTTPS zu einem gewünschten DNS mit dem Mikrotik Router ein?
Wir zeigen euch hier, wie ihr diesen einrichtet:
Auf dem Mikrotik öffnen wir das DNS-Menü und tragen die IP des gewünschten Dienstes ein. Ebenso setzen wir den Haken bei Verify DoH Certificate:
Menü
IP > DNS
Der Befehl für das Terminal:
ip dns set verify-doh-cert=yes servers=1.1.1.1
Nun benötigen wir noch das passende Zertifikat und den DoH Server:
DoH Server von Cloudflare:
und zuletzt das Zertifikat:
Dieses bekommen wir am einfachsten, indem wir den Firefox öffnen und auf https://cloudflare-dns.com/ gehen. Wir klicken das Schloss neben der Domain an und gehen nach
Verbindungsdetails anzeigen
und dann nach
weitere Informationen
Wir sind nun in den Seiteninformationen > Sicherheit und lassen uns dort das Zertifikat anzeigen:
Unter „DigiCert Global Root CA“ finden wir das .pem-File, welches wir bei uns als Zertifikat importieren können.
dieses laden wir via lokal auf den Mikrotik und importieren es:
/tool fetch url="https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem"
/certificate import file-name=DigiCertGlobalRootCA.crt.pem
Das war es auch schon. Danach werden eure DNS-Anfragen verschlüsselt an den Cloudflare DNS-Server geschickt.
Schreibe einen Kommentar