Mikrotik – RouterOS ab v6.47 – DNS over HTTPS – DoH

Von vielen sehnlichst erwartet ist nun auch im RouterOS, ab der stable Version 6.47, DNS over HTTPS verfügbar.

Das Menü ist hier zu finden:

IP > DNS

Wozu dient DNS over HTTPS?

DNS-Anfragen werden genutzt um z.B. “www.google.de” in die Server-IP von dem entsprechenden Google-Dienst aufzulösen. Je nachdem welche DNS-Server ihr nutzt, kann diese Anfrage mitgelesen und oder manipuliert werden (MITM – Man in the Middle-Angriffe). Um dies zu verhindern, gibt es DoH. Hierbei werden die Anfragen verschlüsselt an den DNS-Server geschickt und können so nicht manipuliert oder mitgelesen werden.

Welcher DNS-Dienst ist am schnellsten

Der aktuell schnellste, frei verfügbare DNS-Server ist der von Cloudflare bereitgestellte DNS-Server-Dienst mit der einfach zu merkenden IP (die mittleren Antwortzeiten liegen hier bei ca 18ms):

1.1.1.1

Wie richtet man DNS over HTTPS zu einem gewünschten DNS mit dem Mikrotik Router ein?

Wir zeigen euch hier, wie ihr diesen einrichtet:

Auf dem Mikrotik öffnen wir das DNS-Menü und tragen die IP des gewünschten Dienstes ein. Ebenso setzen wir den Haken bei Verify DoH Certificate:

Menü

IP > DNS
mikrotik-blog.de - dns-server-anlegen

mikrotik-blog.de – dns-server-anlegen

Der Befehl für das Terminal:

ip dns set verify-doh-cert=yes servers=1.1.1.1

Nun benötigen wir noch das passende Zertifikat und den DoH Server:

DoH Server von Cloudflare:

mikrotik-blog.de - dns-server-anlegen-cloudflare

mikrotik-blog.de – dns-server-anlegen-cloudflare

und zuletzt das Zertifikat:

Dieses bekommen wir am einfachsten, indem wir den Firefox öffnen und auf https://cloudflare-dns.com/ gehen. Wir klicken das Schloss neben der Domain an und gehen nach

Verbindungsdetails anzeigen

und dann nach

weitere Informationen

Wir sind nun in den Seiteninformationen > Sicherheit und lassen uns dort das Zertifikat anzeigen:

Unter “DigiCert Global Root CA” finden wir das .pem-File, welches wir bei uns als Zertifikat importieren können.

dieses laden wir via lokal auf den Mikrotik und importieren es:

/tool fetch url="https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem"
/certificate import file-name=DigiCertGlobalRootCA.crt.pem

Das war es auch schon. Danach werden eure DNS-Anfragen verschlüsselt an den Cloudflare DNS-Server geschickt.