edyatl22 янв в 09:18

Cloudflare перешёл на сертификаты SSL.com для DoH-эндпоинтов, вызвав проблемы доверия в MikroTik RouterOS

2 мин

9.5K

DNS * Сетевое оборудованиеСетевые технологии *

Комментарии 12

Да, я, перейдя с Keenetic на Mikrotik, не перестаю изумляться. Обычных DNS можно указать много, а DoH - лишь один. Поддержки DoT нет вообще. Просто выбрать канал для Wi-Fi и то нельзя - изволь узнать частоту и вводить мегагерцы руками.

Потрясающе дубовая и неудобная местами штука.

opusmode 22 янв в 10:44

И всегда такой была.

Но, как говорится, люди выбирают технику по имиджу, а не по реальности

duronus 22 янв в 11:19

Может потому что железка в первую очередь для людей которые знают, что делают. А уже потом свистелки? Тот же keenetic вютоже много не умеет что умеет микрот, но он от этого хуже то не стал.

b1ora 3 фев в 08:13

Ничего не мешает создать список каналов с понятными именами и выбирать их из списка.
https://настройка-микротик.рф/каналы-capsman/

В MikroTik можно настроить всё, и ты будешь настраивать всё.

8street 20 мар в 04:31

DOH серверов можно много указывать. Забиваешь их IP как статик в IP-DNS-Static с каким-нибудь своим доменным именем. Потом в поле Use DOH Server пишешь их доменное имя вместо IP.

AVikont 28 мар в 13:20

Просто выбрать канал для Wi-Fi и то нельзя - изволь узнать частоту и вводить мегагерцы руками

Это же гораздо удобнее, что пересчитывать в номера каналов. Вычесть 5.000, разделить на базовую ширину 5. Зачем? Проше сразу указать частоту.

Тоже самое касается стандарта .11, запоминать маркетинговую чепуху в виде WiFi6 или WiFi4 нет никакого желания, все уже давно привыкли к названиям в IEEE, инженерный состав оперирует только им.

P.S.: для бытовых пользователей сделали режим "quick install", закрывающий абсолютное большинство потребностей "гуманитариев"

blind_oracle 22 янв в 12:30

А я то думал куда у меня связь пропала... зашёл, выкинул DoH, заработало - дальше копать не стал.

Причём обычные DNS тоже были заданы, но Микротик при дохлом DoH не стал на них откатываться.

edyatl 22 янв в 12:38

Если установлен `verify-doh-cert=yes` то он не будет использовать обычные.

blind_oracle 22 янв в 12:45

Хм, интересно, спасибо. Не супер логично, но некий смысл в этом есть.

В идеале, конечно, нужна возможность иметь несколько DoH/DoT - зачем они ограничили одним не ясно.

8street 20 мар в 04:33

Можно и несколько задавать. Чуть выше написал как.

blind_oracle 20 мар в 06:59

В таком случае проверку сертификата не получится сделать же?

8street 20 мар в 07:09

Скорее всего получится. Импортировать сертификаты можно сколько угодно раз. Сертификаты импортируются в хранилище микротика и там нельзя их назначать на конкретный DOH. Они просто работают, если сервер их требует.

По крайне мере у меня работает проверка со всеми серверами Cloudflare, в том числе IPv6. Другие сервера DOH не назначал, просто не требуется.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий