Приватность в цифровом мире — не роскошь, а необходимость. По умолчанию большинство маршрутизаторов использует обычный DNS, который передает запросы в открытом виде. Это значит, что ваш интернет-провайдер или злоумышленник в вашей сети Wi-Fi может отслеживать каждое посещение домена. Для решения используется DNS через HTTPS (DoH) — запросы шифруются с помощью протокола HTTPS/TLS, как в безопасных веб-браузерах.

С DoH на MikroTik “телефонная книга” интернета остается приватной. Запросы не идут через уязвимый UDP порт 53, а проходят по зашифрованному туннелю через порт 443.

Технические требования

Перед настройкой нужно проверить несколько важных моментов, чтобы шифрованное соединение работало корректно.

1. Точное время системы

Так как DoH использует SSL/TLS сертификаты, время на роутере должно быть правильным. Если часы сбиты, проверка сертификата не пройдет, и DNS перестанет работать.

  • Зайдите в System > Clock и проверьте дату и время.
  • Рекомендация: настройте NTP-клиент для автоматической синхронизации времени.

2. Версия RouterOS

Инструкция рассчитана на RouterOS v7. Хотя частично DoH поддерживался в поздних версиях v6, только v7 обеспечивает стабильность и поддержку современных шифров для надежного DoH с такими провайдерами, как Cloudflare и Google.

Шаг 1: Загрузка и импорт сертификатов

Чтобы удостовериться, что сервер Cloudflare подлинный, MikroTik нужен корневой сертификат центра сертификации (CA). Без него роутер не сможет установить безопасное соединение с DNS-сервером.

  1. Откройте Терминал в WinBox.
  2. Скачайте Root CA командой:Terminal window/tool fetch url=[https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem](https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem)
  3. Импортируйте файл в хранилище сертификатов роутера:Terminal window/certificate import file-name=SSLcomRootCertificationAuthorityECC.pem passphrase="
  4. Проверьте успешный импорт в System > Certificates. Там должен отобразиться этот CA — значит роутер доверяет серверу.

Шаг 2: Настройка DoH-резолвера

С сертификатом можно настроить параметры DNS с использованием Cloudflare (1.1.1.1) — одного из самых быстрых и приватных провайдеров.

  1. Перейдите в IP > DNS.
  2. В поле Use DoH Server введите URL: https://1.1.1.1/dns-query
  3. Включите опцию Verify DoH Certificate — роутер будет проверять импортированный сертификат.
  4. Убедитесь, что отмечено Allow Remote Requests — это позволит устройствам в сети использовать MikroTik как безопасный DNS-шлюз.
  5. Важно: для максимальной защиты настройте клиентские устройства использовать IP MikroTik как DNS-сервер, а не внешние адреса.

Шаг 3: Проверка на клиенте

Даже при настройке роутера, нужно убедиться, что локальные устройства действительно используют зашифрованный канал.

  1. На компьютере установите DNS в IP-адрес вашего MikroTik.
  2. Откройте браузер, перейдите на страницу проверки Cloudflare.
  3. Дождитесь окончания теста. Строка “Using DNS over HTTPS (DoH)” должна показать Yes.

Устранение неполадок и мониторинг

Если сайты не загружаются, проверьте логи MikroTik для выявления сбоев рукопожатия или таймаутов соединения DoH.

  • Проверка логов: выполните команду для событий, связанных с DoH:Terminal window/log print where message~"doh"
  • Типичная ошибка: если логи показывают “SSL error”, перепроверьте System > Clock. Несовпадение времени даже на несколько минут делает сертификат недействительным.