RouterOS从v6.47增加了DNS over https(DOH)解析功能。DoH使用k">HTTPS协议发送和接收DNS请求提高了数据完整性,消除“中间人”攻击 (MITM)来保证隐私。
本文以阿里云的DoH为例:https://dns.alidns.com/dns-query (https://223.6.6.6/dns-query)
1、下载证书
因为要启用Verify DoH Certificate功能,所以需要证书。下载证书使用Firefox比较简单,其他的浏览器需要到指定网站去下载比较麻烦。本文文末提供了证书下载。
1.1 Firefox访问 https://223.6.6.6/dns-query ,点击锁 -> 安全连接 -> 更多信息 -> 安全 -> 查看证书
1.2 GlobalSign ECC OV SSL CA 2018 选项卡,下载那行,点击 PEM(证书)
2、安装证书
2.1 使用Winbox把下载的alidns-com.pem证书上传到Files中。
2.2 导入证书,System -> Certificates,Certificates选项卡,点击 Import,File Name选择刚上传的alidns-com.pem,点击 Import
3、DoH设置
3.1 IP -> DNS,Use DoH Server填入https://223.6.6.6/dns-query,勾选 Verify Doh Certificate,其他的默认即可,点击 OK
注意事项:
1、如果DoH使用域名https://dns.alidns.com/dns-query,还需要在DNS Static中增加一条A记录的解析,解析到IP223.5.5.5或223.6.6.6
2、不勾选Verify DoH Ceritficate就不需要导入证书,但是不安全。
3、做好DoH后打开Log看看是否有dns,error,如果有代表DoH没有成功设置。
4、证书是有有效期的,目前是到2028-11-21过期,过期后需要重新导入证书。
评论(0)