DNS Over HTTPS (DoH) Mikrotikte Kurulum
Router seviyesinde şifreli DNS ile tüm ağı koruyun
DNS Over HTTPS (DoH) Mikrotik'te Kurulum
%20Mikrotikte%20Kurulum&slug=dns-over-https-mikrotik-kurulum)
DoH, DNS sorgularını HTTPS tüneli içinde taşıyarak ISP ya da yol üstündeki ağ ekipmanlarının sorguları görmesini engeller. RouterOS 6.47 ile birlikte yerleşik DoH client geldi.
1) CA Sertifikası
DoH için güvenilir bir CA sertifikası gerekir. Mozilla'nın kök CA bundle'ını dosya sistemine yükleyip import edin:
/certificate
import file-name=cacert.pem passphrase=""
# Bundle düzgün yüklendiyse "imported 1 certificates" görürsünüz.%20Mikrotikte%20Kurulum%20g%C3%B6rsel&slug=dns-over-https-mikrotik-kurulum-illustration)
2) DoH Server'ı Ayarla
/ip dns
set use-doh-server=https://cloudflare-dns.com/dns-query \
verify-doh-cert=yes servers=""Alternatif DoH Sağlayıcılar
| Sağlayıcı | URL |
|---|---|
| Cloudflare | https://cloudflare-dns.com/dns-query |
| https://dns.google/dns-query | |
| Quad9 | https://dns.quad9.net/dns-query |
| NextDNS | https://dns.nextdns.io/<yourid> |
3) DNS Cache
/ip dns
set cache-size=4096KiB allow-remote-requests=yes cache-max-ttl=1d4) Test
/ip dns cache print
/ip dns
resolve name=google.com5) Cihazları Router'ın DNS'ine Zorla
Hotspot / misafir Wi-Fi kullanıcılarının manuel Google DNS girmesini engellemek için:
/ip firewall nat
add chain=dstnat src-address=192.168.88.0/24 protocol=udp dst-port=53 \
action=redirect to-ports=53
add chain=dstnat src-address=192.168.88.0/24 protocol=tcp dst-port=53 \
action=redirect to-ports=53Neden DoH?
- Gizlilik: ISP, hangi siteye girdiğinizi göremez.
- DNS Hijack'a karşı koruma: tipik ortak Wi-Fi saldırılarına dayanıklı.
- Sansüre karşı dayanıklılık: DNS bloklanmış hedefleri çözebilir.
Dikkat
DoH, ISP'nin DNS loglarını engeller ama SNI (Server Name Indication) TLS el sıkışmasında hâlâ açık gider. Tam gizlilik için ECH (Encrypted Client Hello) destekli tarayıcı + Cloudflare + DoH üçlüsü gerekir.
