Cloudflare DNS-over-HTTPS (DoH) Cache auf MikroTik RouterOS Router einrichten

Im Vergleich zu Standard-UDP-DNS bietet DNS-over-HTTPS (DoH) den großen Vorteil, dass – da es verschlüsselt ist – jemand, der den Datenverkehr abfangen kann, nicht feststellen kann, welche Domainnamen verwendet werden.

Es gilt jedoch der Nachteil, dass die Latenz beim Auflösen eines Domainnamens mit DoH deutlich größer ist – allerdings wird die Einrichtung des MikroTik-Routers als DNS-Cache die gesamte DNS-Latenz deutlich reduzieren, zumindest für zwischengespeicherte Domainnamen.

Die folgende Liste von RouterOS-Befehlen richtet den internen DNS-Server als DNS-Cache ein, der über DNS-over-HTTPS läuft.

Laden Sie zunächst CA-Zertifikate auf den Router herunter, um die HTTPS-Zertifikate von CloudFlare verifizieren zu können:

/tool fetch url=https://curl.se/ca/cacert.pem

Warten Sie, bis der Download abgeschlossen ist, z. B.

[admin@MikroTik] > /tool fetch url=https://curl.se/ca/cacert.pem
      status: finished
  downloaded: 210KiBz pause]
       total: 210KiB
    duration: 1s

Importieren Sie nun die Datei und richten Sie den DNS-Server ein:

/certificate import file-name=cacert.pem passphrase=""
/ip dns set allow-remote-requests=yes cache-size=8192KiB max-concurrent-queries=1000 max-concurrent-tcp-sessions=2000 servers=1.1.1.1 use-doh-server=https://cloudflare-dns.com/dns-query verify-doh-cert=yes