การตั้งค่าให้ Mikrotik RouterOS 6.47 ให้ใช้งาน DNS Over HTTPS (DoH)

By
ripmilla
-
14324

ใน Mikrotik RouterOS 6.47 จะมีการอัพเกรดให้ใช้ความสามารถใหม่นั่นก็คือ DNS Over HTTPS เป็นการเข้ารหัสการร้องขอ DNS จากที่การ Request จะเป็น UDP Protocol แถมยังเป็น Plaintext ซึ่งตรงนี้ นอกจาก โดน Intercept จาก ISP แล้ว ยังสามารถ โดน Packet Sniffer ได้ด้วย

การใช้ DoH (DNS Over HTTPS) จึงเป็นทางเลือกที่จะทำให้ระบบปลอดภัยมากขึ้น ทำให้ ISP ไม่สามารถ Redirect DNS Request ของเราได้

(รู้หรือไร่ ถึงแม้ว่าคุณใช้ DNS ของ Google และ Cloudflare แต่คุณก็ยังโดน ISP ทำ NAT วิ่งให้ไปออก DNS ของเค้าอยู่ดีแหละ ไม่เชื่อก็ลองเข้าเว็บลามกสิ)

หลักการทำ DoH ก็คือ ทำตาม script นี้ครับ

/ip dns set servers=1.1.1.1,1.0.0.1

/system ntp client set enabled=yes server-dns-names=time.cloudflare.com

/tool fetch url=https://curl.se/ca/cacert.pem

/certificate import file-name=cacert.pem passphrase=””

/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

1. ให้เรา setup DNS ปกติให้เรียบร้อยก่อน เช่นจะไปใช้ cloudflare ก็ได้
2. แก้ ntp client ให้ชี้ไปที่ cloudflare เพื่อปรับเวลาให้ถูกต้อง
3. ไป fetch เอา cert ของ Mozilla มาใส่ในเครื่อง
4. import certificate เข้าไป
5. แก้ไขค่า setting เป็น DoH ของ cloudflare
6 ปิดท้ายด้วย การปิดค่า DNS ปกติทิ้งไปซะ

เพียงเท่านี้ก็จะมี DoH ใช้แล้วครับ

อย่างไรก็ตาม ตัว Certificate ก็จะมีการอัพเดทเพื่อเพิ่ม CA ใหม่ๆเข้ามาอย่างต่อเนื่อง ดังนั้น Mikrotik ของเราจึงต้อง ดึงเอา Cert ตัวใหม่มา Import เข้าระบบอยู่เสมอๆด้วยครับ Script ข้างล่างนี้คือ Script สำหรับ Import Certificate ตัวใหม่เข้ามาในระบบโดยจะทำงานอัตโนมัติให้เราครับ

/system script add dont-require-permissions=no name=Update-Cert owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=”/tool fetch url=https://curl.se/ca/cacert.pem\r\
\n:delay 5s\r\
\n/certificate import file-name=cacert.pem”

/system scheduler add interval=1w name=Update-Cert on-event=Update-Cert policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=feb/16/2020 start-time=00:00:00

ปล. สำหรับท่านที่กำลังรอคอร์สระบบ Network ทั้ง Mikrotik และอื่นๆของทาง Packethunter.net ตอนนี้กำลังเตรียมเรื่องสถานที่ และมาตรการในการทำให้พื้นที่ปลอดภัยที่สุด เพื่อการมาเรียนจะได้ไม่ต้องห่วงอะไร รออัพเดทอีกทีนะครับ ขอบคุณมากคร้าบ

ripmilla
https://www.packethunter.net
อ.ศุภเดช / Certified Mikrotik Trainer No. 600 MTCNA / MTCRE / MTCWE / MTCUME / MTCTCE / MTCIPv6E / MTCSE UEWA / DCNA / LNFT2 Expert in Mikrotik and UBIQUITI