DoH на роутере OpenWRT, Mikrotik и Asus: пошаговая инструкция от того, кто сам хостит резолвер

[Z55]

В микротике ещё необходимо снять галку "Peer DNS", с wan-интерфейса

[wiktorbgu]

Удивлён что не написали "прошить на него OpenWRT"

[Z55]

Ну не, тут же туториал, поэтому вставил 5 копеек, которые упустил автор

[ii343hbka]

Надо ещё добавить заворачивание транзитного udp/53 на udp/53 на самом роутере, чтобы ничего кастомное не вытекало

[werter_l]

Спасибо за статью.

У keenetic-ов doh имеется - вкл. в компонентах.

В прошивке padavan тоже есть возможность добавить doh, если места хватает. Плюс можно в настройках принудительно завернуть все днс-запросы.

[nickolas059]

А бывает в браузере по умолчанию сделали DOH, надо руками отключать. В общем любопытная история, но дома можно отследить, и на пару суток /tool sniffer включить и посмотреть, для спокойствия души. И фаервол настроить для принудительного разворота всего трафика TCP/UDP:53 на свой dns resolver aka Adguard Home, pihole. Задача не самая элементарная, хотя казалось бы...

[agpecam]

Важный момент: servers="" (пустая строка) это не баг, а лечение. Пока туда вписан хотя бы один обычный IP, RouterOS будет ходить в plain-DNS параллельно с DoH, и verify-doh-cert=yes мало что меняет, если рядом течёт незашифрованный трафик.

Как в этом случае mikrotik определит IP dns.vantagedns.com?

[wiktorbgu]

а никак, они будут писать ip адрес в поле сервера вместо dns имени получая при этом 1 сервер, вместо 2-х по имени dns и неработующую верификацию сертификата, потому что нечего валидировать по имени dns
и в добавок часто пишут dns cloudflare как единицы 1.1.1.1, хотя кто мешает заглянуть в nslookup cloudflare-dns.com, т.к. единицы частенько просто блочат