
Комментарии 12
В микротике ещё необходимо снять галку "Peer DNS", с wan-интерфейса
Удивлён что не написали "прошить на него OpenWRT"
А как тогда микротик будет резолвить DoH-домен?
Даже в официальной вики написано, что нужен обычный DNS
Note that you need at least one regular DNS server configured for the router to resolve the DoH hostname itself.
/ip dns set servers=1.1.1.1If you do not have any dynamical or static DNS server configured, add a static DNS entry for the DoH server domain name like this:
/ip dns static add address=IP_Address name=Domain_Name
То есть, годится любой вариант: динамически получаемый серверы из WAN, вручную прописанный сервер, либо вообще прибить доменное имя к IP гвоздями.
Там же указано, что при работающем DoH обычные DNS игнорируются
If DoH server is being used (DoH DNS name can be resolved) then it will be the only DNS service working at the time and standard DNS servers from IP/DNS servers list will not be used.
А как тогда микротик будет резолвить DoH-домен?
Не надо его резолвить. Для этого там есть:
/ip dns static
add address=1.1.1.1 name=security.cloudflare-dns.com type=A
add address=1.0.0.1 name=security.cloudflare-dns.com type=A
add address=2606:4700:4700::1111 name=security.cloudflare-dns.com type=AAAA
add address=2606:4700:4700::1001 name=security.cloudflare-dns.com type=AAAAНадо ещё добавить заворачивание транзитного udp/53 на udp/53 на самом роутере, чтобы ничего кастомное не вытекало
Спасибо за статью.
У keenetic-ов doh имеется - вкл. в компонентах.
В прошивке padavan тоже есть возможность добавить doh, если места хватает. Плюс можно в настройках принудительно завернуть все днс-запросы.
А бывает в браузере по умолчанию сделали DOH, надо руками отключать. В общем любопытная история, но дома можно отследить, и на пару суток /tool sniffer включить и посмотреть, для спокойствия души. И фаервол настроить для принудительного разворота всего трафика TCP/UDP:53 на свой dns resolver aka Adguard Home, pihole. Задача не самая элементарная, хотя казалось бы...
Важный момент:
servers=""(пустая строка) это не баг, а лечение. Пока туда вписан хотя бы один обычный IP, RouterOS будет ходить в plain-DNS параллельно с DoH, иverify-doh-cert=yesмало что меняет, если рядом течёт незашифрованный трафик.
Как в этом случае mikrotik определит IP dns.vantagedns.com?
а никак, они будут писать ip адрес в поле сервера вместо dns имени получая при этом 1 сервер, вместо 2-х по имени dns и неработующую верификацию сертификата, потому что нечего валидировать по имени dns
и в добавок часто пишут dns cloudflare как единицы 1.1.1.1, хотя кто мешает заглянуть в nslookup cloudflare-dns.com, т.к. единицы частенько просто блочат
Важный момент:
servers=""(пустая строка) это не баг, а лечение. Пока туда вписан хотя бы один обычный IP, RouterOS будет ходить в plain-DNS параллельно с DoH
Это противоречит написанному в официальной документации, где указано, что на устройстве, кроме DoH, обязательно должно быть что-то ещё, иначе нечем отрезолвить домен:
получение обычных DNS из WAN
прописывание
servers=""или вообще тупо прибить адрес DoH-домена к IP-адресу
Там же указано, что при работающем DoH обычные DNS игнорируются
If DoH server is being used (DoH DNS name can be resolved) then it will be the only DNS service working at the time and standard DNS servers from IP/DNS servers list will not be used.
Пропущен важный момент с синхронизацией времени на роутере. Большинство домашних роутеров не имеет RTC с батарейкой на борту, и при старте устройство синхронизирует время/дату при старте с условным "pool.ntp.org". Что тоже надо резолвить.
А без правильной времени/даты не работает TLS в DoT/DoH
p.s. как вариант проблема решается внешний RTC на usb порту.
DoH на роутере OpenWRT, Mikrotik и Asus: пошаговая инструкция от того, кто сам хостит резолвер