随着互联网的快速发展,隐私和安全成为每个网络管理员必须考虑的重要问题。DNS-over-HTTPS(DoH)是一项旨在保护用户隐私的技术,通过加密的HTTPS协议解析DNS查询,有效防止DNS流量被劫持或窃听。在MikroTik RouterOS v7中,DoH功能得到了完整支持,这为网络管理员提供了更安全的DNS解析方式。
本文将带你一步步配置MikroTik RouterOS的DoH DNS服务,并解释其应用场景和优势。
什么是DoH DNS?
传统DNS使用明文UDP协议进行解析,很容易被窃听、篡改或劫持。而DoH将DNS查询封装在HTTPS中,使其成为加密流量的一部分。它的主要优点包括:
- 提升隐私保护:加密的DNS请求避免了被中间人攻击的风险。
- 增强数据完整性:防止DNS查询结果被篡改。
- 突破网络限制:在某些受限网络环境中,DoH可能绕过基于DNS的访问控制。
配置步骤
以下是配置DoH DNS的详细步骤:
1.准备工作
在开始配置之前,需要以下信息:
- 可信任的DoH服务提供商地址(如阿里云、腾讯云等)。
- 对应的证书或公共密钥(由服务提供商提供,确保加密安全性)。
常用DoH服务地址:
- 阿里 DoH: https://dns.alidns.com/dns-query
腾讯 DoH: https://doh.pub/dns-query
2.下载证书并导入,然后启用DoH DNS
下载证书,以edge浏览器为例:
下载后得到2个.crt证书文件,这里提供2个下载好的(2024.11.26)
接下来上传到ROS并导入:
3.测试DNS解析
配置完成后,可以通过以下命令验证DoH是否正常工作:
/ping www.baidu.com
如果有返回IP说明DNS解析工作正常。