вторник, 29 апреля 2025 г.

Налаштування Google DNS over Http на роутері Mikrotik

  Знадобилося мені налаштувати на роутері Mikrotik функціонал DNS over Http (DoH). Я звичайно використовую DNS сервіси Гугла 8.8.8.8 та 8.8.4.4. І тут забажав саме їх. Але нормальної інструкції не знайшов. Для Cloudflare повно, а для Google ні. 
  Довелося самому здогадуватися.
  Нижче результат цього.  Для налаштуванні Mikrotik використовував WinBox.

На WinBox налаштовуемо звичайний DNS

  Спочатку на Мікротіке налаштував звичайний DNS. Це потрібно щоб роутер отрезолвіл ім'я "dns.google" котре використовуеться в DoH.
  1. В розділі "IP \ DNS" в полі "Servers" указав 8.8.8.8
  2. Тут же ставимо галочку "Allow remote requests"

На комп завантажуємо сертифікати Google

  Далі потрібно завантажити на комп цифрові підписи з сайта Google Repository.
  На цій сторінці находимо розділ "Google Repository \ Download CA certificates \ Root CAs" тиснемо галочку справа. Розгортається кілька строк де на початку кожної стоять:
GTS Root R1
GTS Root R2
GTS Root R3
GTS Root R4
GlobalSign R4
  З крайнього справа на кожної з цих строк стоїть кнопка "Action". Клікните на кожній  них і вибрати "Downloads \ Certificate (PEM)". На комп завантажиться файл сертифіката з розширенням *.pem.

У WinBox з компа сертіфікати переносимо в Mikrotik

  Далі знова заходимо в Winbox.
  В меню вибрати "Files" \ вкладка "File" \ кнопка "+" \ "Text file". В поле "File Name" заносимо повний путь до файла котрий ми завантажили раніше. І так для кожного файла.
  В окні "File List" повинні з'явитися усі ці файли.

На WinBox додаємо завантаженні сертифікати в Mikrotik

  Далі в "System \ Certificates \ Certificates" тискаємо кнопку "Import" і в полі "File name" з випадаючого переліку вибираємо один з попередній файлів. Жмем кнопку "Import" і файл з'являється в окні "System \ Certificates \ Certificates". І так для кожного файла сертіфіката.

На WinBox додаємо налаштування DNS over Http

   Знову повертаємось в "IP \ DNS". В полі "Use DoH server" ставимо "https://dns.google/dns-query".
  Ставимо галочку "Verify DoH certificate".
  І тискаємо кнопку "Apply".

Перевірка роботи

  Для перевірки роботи з компа Windows під'єднаного до внутрішньої мережі використовуйте наступну команду
nslookup diia.gov.ua 192.168.0.1
Де 192.168.0.1 це внутрішній ІР Мікротіка. Команда повинна показати ІР

Troubleshooting

  В мене спочатку не запрацювало. Я додав тільки один сертіфікат "GlobalSign R4". Це не спрацювало. Ім'я не резолвилося і в логах Мікротіка була помилка SSL точно вже не пам'ятаю яка саме. Я завантажив усі п'ять сертифікатів. все запрацювало. Можливо усі п'ять не потрібні.



Автор: на
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)