ncravino/mikrotik_enforce_dns_block_doh
You can’t perform that action at this time.
Đảm bảo sử dụng bộ định tuyến phiên bản 6.47
Nếu phiên bản bộ định tuyến vẫn dưới 6.47, trước tiên có thể cập nhật thông qua Menu System → Packages → Check for updates. Kể từ ngày 3 tháng 6 năm 2020 phiên bản 6.47 đã vào nhánh stable.
Sau đó, chúng tôi cố gắng sử dụng DNS qua HTTPS
Để xác định các DOH Server, bạn có thể tìm thấy nó ở các trang web cung cấp DNS như cloudflare, google, quad9 hoặc các trang khác… Để xác minh, chúng tôi cần có các chứng chỉ DOH của máy chủ. Bạn có thể tìm chúng trên Internet. Chẳng hạn, /tool fetch url="https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem" /certificate import file-name=DigiCertGlobalRootCA.crt.pem Chúng tôi chép từng lệnh vào dán vào cửa sổ Terminal
Tại bước nhập chứng chỉ vào Routeros, hệ thống sẽ yêu cầu một mã bảo vệ để bảo vệ an toàn những chứng chỉ này. Hãy nhập một mật khẩu bạn luôn nhớ ! Tiếp theo, chúng tôi tìm các máy chủ DOH trên Internet. Sử dụng DoH Server: Bạn tìm thấy các địa chỉ máy chủ DOH tại các trang web của nhà cung cấp DNS như cloudflare, google, quad9 hoặc các trang khác… Đây là một máy chủ DOH: https://cloudflare-dns.com/dns-query Chúng tôi thêm máy chủ DOH này vào Router.
Sau đó chúng tôi kiểm tra kết quả.
Các vấn đề khi sử dụng DoH.
- Tôi có thể vượt qua các trang web chặn của ISP ? Được hoặc Không. Nếu ISP chỉ chặn tên miền thì bạn có thể truy cập; nếu ISP chặn IP máy chủ, bạn không thể truy cập.
- Tôi cấu hình DOH trên Router nghĩa là sao ? Nghĩa là Router của bạn đã thiết lập liên kết bảo mật DNS với máy chủ DNS. Bạn cần khai báo DNS cho các thiết bị trong mạng của bạn sử dụng địa chỉ IP của Router làm máy chủ DNS mới có thể hoạt động trên DOH.
Đơn giản đúng không nào. Hãy thử kiểm tra và thử nghiệm. Chúc các bạn thành công.
Domain Name System (DNS) usually refers to the Phonebook of the Internet. In other words, DNS is a database that links strings (known as hostnames), such as www.mikrotik.com to a specific IP address, such as 159.148.147.196.
A MikroTik router with DNS feature enabled can be set as a DNS server for any DNS-compliant client. Moreover, the MikroTik router can be specified as a primary DNS server under its DHCP server settings. When the remote requests are enabled, the MikroTik router responds to TCP and UDP DNS requests on port 53.
When both static and dynamic servers are set, static server entries are more preferred, however, it does not indicate that static server will always be used (for example, previously query was received from a dynamic server, but static was added later, then a dynamic entry will be preferred).
When DNS server allow-remote-requests are used make sure that you limit access to your server over TCP and UDP protocol port 53.
Let`s take as an example the following setup: Internet service provider (ISP) → Gateway (GW) → Local area network (LAN). The GW is RouterOS based device with the default configuration:
This menu provides two lists with DNS records stored on the server:
Empty a DNS cache you can with the command: /ip dns cache flush
The MikroTik RouterOS has an embedded DNS server feature in the DNS cache. It allows you to link the particular domain names with the respective IP addresses and advertize these links to the DNS clients using the router as their DNS server. This feature can also be used to provide fake DNS information to your network clients. For example, resolving any DNS request for a certain set of domains (or for the whole Internet) to your own page.
The server is capable of resolving DNS requests based on POSIX basic regular expressions so that multiple requests can be matched with the same entry. In case an entry does not conform with DNS naming standards, it is considered a regular expression and marked with an ‘R’ flag. The list is ordered and is checked from top to bottom. Regular expressions are checked first, then the plain records.
Use regex to match DNS requests:
Regexp is case sensitive, but DNS requests are not case sensitive, RouterOS converts DNS names to lowercase, you should write regex only with lowercase letters. Regular expression matching is significantly slower than of the plain entries, so it is advised to minimize the number of regular expression rules and optimize the expressions themselves.
Dynamic DNS servers are obtained from the DHCP server with the DHCP client configuration. Let`s assume we don't want to use both dynamic servers, but only one of them:
Starting from RouterOS version v6.47 it is possible to use DNS over HTTPS (DoH). DoH uses HTTPS protocol to send and receive DNS requests for better data integrity. Its main goal is to provide privacy by eliminating the man-in-the-middle attacks (MITM). Currently, DoH is not compatible with FWD-type static entries, in order to utilize FWD entries, DoH must not be configured.
It is advised to import the root CA certificate of the DoH server you have chosen to use for increased security. We strongly suggest not use third-party download links for certificate fetching. Use the Certificate Authority's own website.
There are various ways to find out what root CA certificate is necessary. The easiest way is by using your WEB browser, navigating to the DoH site, and checking the security of the website. Using Firefox we can see that DigiCert Global Root CA is used by the Cloudflare DoH server. You can download the certificate straight from the browser or navigate to the DigiCert website and fetch the certificate from a trusted source.
Download the certificate and import it:
Configure the DoH server:
Note that you need at least one regular DNS server configured for the router to resolve the DoH hostname itself. If you do not have any dynamical or static DNS server configured, configure it like this:
Vừa rồi Mikrotik cũng đã release RouterOS 6.47 (Stable)-phiên bản ổn định cho người dùng. Ở phiên bản này Mikrotik cũng đã đưa tính năng DoH lên thiết bị của mình. DNS over HTTPS – phương pháp này nhằm tăng quyền riêng tư và bảo mật người dùng bằng cách ngăn chặn việc nghe lén và ngăn chặn tấn công man-in-the-middle. DNS over HTTPS giúp bảo vệ việc chúng ta truy vấn DNS bằng kết nối được mã hóa, điều này giúp hacker không thể biết được bạn đang truy vấn địa chỉ IP cho tên miền nào. Kế đó, DNS over HTTPS giúp chúng ta xác minh xem nội dung trả về (bao gồm IP máy chủ) có được gửi từ máy chủ DNS gốc hay không, có bị thay đổi gì trong lúc truyền đi hay không.
Mọi người tham khảo tại đây nhé!
Chúc mọi người thành công!
Instantly share code, notes, and snippets.
Mục đích chính của việc sử dụng DoH là cung cấp sự riêng tư cho các liên kết truy cập Internet bằng cách loại bỏ tấn công theo kiểu MITM. Ví dụ ở đây tôi đang sử dụng một đường truyền Internet của một ISP và ISP đang thực hiện chính sách “cưỡng chế” đọc các liên kết truy cập của chúng tôi và điều hướng chúng về các máy chủ DNS của ISP. Điều này gây bất tiện cho người dùng, ví dụ DNS thuộc ISP đang chặn, một trang web chẳng hạn như routertik.vn
Chúng tôi mô tả qua hai mô hình cơ bản. Với mô hình A, các lưu lượng truy vấn kết nối với máy chủ DNS từ xa thông thường Với mô hình B, ISP đã quản lí các lưu lượng truy cập trên máy tính của chúng tôi và khách hàng, chẳng hạn trang web https://routertik.vn bị chặn từ phía ISP. Router ISP là bộ định tuyến của ISP. Router Client là bộ định tuyến của chúng tôi, sẽ sử dụng DNS qua HTTPS để vượt qua cơ chế chặn.
