Mikrotik DNS DoH Konfiguration

Hier ist eine kleine Sammlung von sicheren öffentlichen DNS-Servern. Diese Server speichern keine Logs oder persönliche IPs. Ich beschreibe hier wie man diese in einen Mikrotik Router der als DNS-Relay im Netzwerk läuft einträgt bzw. zum laufen bekommt.

Überprüfen kann man dies nach erfolgreicher Config mit einem DNS-Leak-Test.

1. Freifunk München

im Terminal des Mikrotiks folgendes eingeben:

DNS-Server setzen:

/ip dns set servers=5.1.66.255,185.150.99.255,2001:678:e68:f000::,2001:678:ed0:f000::

Zertifikat herunterladen:

/tool fetch url=https://letsencrypt.org/certs/isrgrootx1.pem

Zertifikat importieren:

/certificate import file-name=isrgrootx1.pem passphrase=""

DNS-Server mit DoH setzen:

/ip dns set servers=5.1.66.255,185.150.99.255,2001:678:e68:f000::,2001:678:ed0:f000:: use-doh-server=https://doh.ffmuc.net/dns-query verify-doh-cert=yes

der Haken bei "Allow Remote Requests" sollte gesetzt sein wenn der Mikrotik als DNS-Relay fungieren soll... Natürlich müssen dann den Geräten im Netzwerk noch die IP vom Mikrotik als DNS bekannt gemacht werden.

2. Quad9

Bei Quad9 gibt es verschiedene Server. Dieses Beispiel ist der Standardserver mit Malware-Blockierung und DNSSEC-Validierung. Sollte keine Malware-Blockierung und DNSSEC-Validierung benötigt werden müssen andere IPs und URLs im unteren Beispiel verwendet werden. Hier findet man die Server.

DNS-Server setzen:

/ip dns set servers=9.9.9.9,149.112.112.112,2620:fe::fe,2620:fe::9

Zertifikat herunterladen:

/tool/fetch mode=https url="https://support.quad9.net/hc/en-us/article_attachments/4618235579021/digicert-root-ca.pem"

Zertifikat importieren:

/certificate/import file-name=digicert-root-ca.pem passphrase=""

DNS-Server mit DoH setzen:

/ip dns set servers=9.9.9.9,149.112.112.112,2620:fe::fe,2620:fe::9 use-doh-server=https://dns.quad9.net/dns-query verify-doh-cert=yes

der Haken bei "Allow Remote Requests" sollte gesetzt sein wenn der Mikrotik als DNS-Relay fungieren soll... Natürlich müssen dann den Geräten im Netzwerk noch die IP vom Mikrotik als DNS bekannt gemacht werden.

3. Cloudflare

DNS-Server setzen:

/ip dns set servers=1.1.1.1,1.0.0.1,2606:4700:4700::1111,2606:4700:4700::1001

Zertifikat herunterladen:

/tool fetch url=https://curl.se/ca/cacert.pem

Zertifikat importieren:

/certificate import file-name=cacert.pem passphrase=""

DNS-Server mit DoH setzen und normalen DNS entfernen:

/ip dns set servers=1.1.1.1,1.0.0.1,2606:4700:4700::1111,2606:4700:4700::1001 use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

/ip dns set servers=""

der Haken bei "Allow Remote Requests" sollte gesetzt sein wenn der Mikrotik als DNS-Relay fungieren soll... Natürlich müssen dann den Geräten im Netzwerk noch die IP vom Mikrotik als DNS bekannt gemacht werden.