MANUAL: Mikrotik, securizar el DNS usando DoH (DNS over HTTPS)

Estás saliendo por los DNS dinámicos de tu ISP. Quítalos de la conexión WAN, de la que salgas. Si tu conexión WAN se establece por cliente dhcp, ve a IP -> DHCP Client, y desmarcas el "Use Peer DNS"

Ver el adjunto 75760Una vez hecho, reinicias el equipo para que limpie la caché y arranques desde cero (o le borras las caché DNS a mano)

Saludos!
Hola @pokoyo ,
también tengo el mismo problema que el compañero al intentar configurar esto, a mi me sale esta configuración en winbox.
En IP-Dns client sólo me sale la vlan3 que pertenece al telefono (creo)

Si hago en la terminal....
/ip dns print
servers:
dynamic-servers: 80.58.61.250,80.58.61.254
use-doh-server: https://1.1.1.1/dns-query
verify-doh-cert: yes
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 107KiB

Creo que estoy saliendo por los dns de movistar.

Muchas gracias.
 

Adjuntos

  • 1.JPG
    1.JPG
    44.9 KB · Visitas: 38
  • 2.JPG
    2.JPG
    30.8 KB · Visitas: 44
  • 3.JPG
    3.JPG
    27.9 KB · Visitas: 42
En el PPPoE, que es tu tipo de conexión, tienes lo mismo, quita el use peer dns de ahí. No toques el cliente dhcp de la vlan3 que, como bien dices, no tiene nada que ver.

Saludos!
 
primera parte conseguida....ahora vamos a unirlo con pi-hole.
gracias y saludos.
por cierto....ya tengo el telefono fijo funcionando y el mikrotik a tope detras del ZTE.
 

Adjuntos

  • captura_3.png
    captura_3.png
    41.7 KB · Visitas: 35

Introducción​

Hoy os traigo un nuevo manual, de corte muy sencillito, para que securicéis vuestras peticiones DNS, usando DoH. O lo que es lo mismo, usar HTTPS para vuestras peticiones al servidor DNS. Actualmente, prácticamente el 99% de las páginas que visitáis establecen una conexión segura vía HTTPS, sin embargo es una cosa que aún no se usaba a nivel DNS. ¿Qué significa esto? Que cualquiera puede espiar vuestra navegación. No el qué, pero sí el dónde, puesto que vuestras peticiones DNS atraviesan los routers de vuestras operadoras en plano, siendo perfectamente visible para ellos qué páginas vistas, no así lo que haces en ellas.

Propósito​

El propósito del manual es bien sencillo: alejar vuestra navegación de mirones indeseados. De esta manera "sólo" vuestro provedor DNS sabrá qué consumís, pero no vuestro operador. Si él realiza algún tipo de filtrado DNS, este no os afectaría, puesto que la resolución de nombres, entre vuestro router y vuestro proveedor DNS, estaría cifrada por HTTPS, al igual que el resto de navegación.

Manos a la obra​

Realizar esto es realmente sencillo, y simplemente tenemos que seguir tres pasos:

Primero: obtener el certificado raiz (CA) que valide la conexión HTTPS que vamos a establecer con nuestro proveedor DNS. Esto normalmente pasa de manera automática en un navegador, puesto que estos inlucluyen un set de CA's (entidades certificadoras) públicas que se mantienen actualizadas. Pero, al tratarse de un router, esas CA's no existen. Lo que vamos a hacer es importar el certificado raiz que verificará, posteriormente, que el certificado HTTPS de nuestra conexión con el proveedor de DNS es válido y que puede usarse para cifrar dicha conexión. En nuestro ejemplo, vamos a usar CloudFlare, así que bajaremos el certificado raíz que usa dicho proveedor en nuestro router
Código:
/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem

Segundo: una vez obtenido el certificado, lo importamos en el router. El comando anterior habrá dejado el certificado en la carpeta "Files" del router. Ahora podemos ir a System -> Certificates -> Certificates (pestaña) e importar el certificado en cuestión, usando para ello el botón Import. Sino, podemos hacerlo fácilmente también desde el terminal, usando el siguiente comando
Código:
/certificate import file-name=DigiCertGlobalRootCA.crt.pem

Tercero: una vez hecha la importación, es el momento de activar el DoH en nuestro router. La opción la tenemos en IP -> DNS. Concretamente, rellenaremos el campo "Use DoH Server" y marcaremos la opción de "Verify DoH Certificate", puesto que nuestro router ahora confía en la CA que hemos importado, la cual puede verificar que la conexión con la URL del DoH es válida y nadie nos está impersonando dicha comunicación, confiando así el cifrado que se realice en dicha conexión. En este caso, como dijimos que íbamos a usar Cloudflare, ponemos en ese campo la URL en cuestión:
Código:
/ip dns set use-doh-server=https://cloudflare-dns.com/dns-query verify-doh-cert=yes

Cuarto: asegurarnos de que tenemos manera de resolver el nombre de dominio del servidor DoH. Aunque esto os parezca extraño, aún seguimos necesitando tener, al menos, un servidor DNS tradicional para que todo esto funcione. ¿Por qué? Pues porque, sencillamente, la petición a la URL del DoH no se resuelve sola, puesto que no deja de ser un dominio más. Para esto, tenemos dos opciones:

A) Mantener al menos un servidor tradicional en IP -> DNS. Con mantener unos sobra. Ese servidor sólo se usará para la petición del DoH y, una vez funcionando esto, se ignorará en favor de la conexión cifrada​
B) Meter como estáticas las IP's que están detrás del dominio cloudflare-dns.com. En este caso, tendríamos que crear entradas estáticas de tipo A en nuestro DNS estático (botón Static) resolviendo las dos IP's que están detrás de ese dominio cloudflare-dns.com: 104.16.248.249, 104.16.249.249. En el momento en el cual estén definidas esas entradas, podríamos quitar el DNS no cifrado de la primera pantalla, en el campo Servers:​
C) Usar las URL's de DoH que apuntan directamente a los dominios por IP [by @PeRRo_RoJo_], en lugar de por nombre de dominio. De esta manera, tampoco hace falta mantener ningún dominio tradicional, puesto que resuelve por IP:​
Como los certificados están bien hechos y también incluyen estas IP's como CN's alternativos, podemos mantener activa la validación del certificado en el router, usando la misma CA raíz.​

Con esto ya tendríamos funcionado DoH en nuestra red principal. Ahora sólo tenemos que asegurarnos de que nuestro router está entregando como DNS primario la IP de nuestro propio router. Para probar que todo está funcionando, vamos a la siguiente dirección y corremos una prueba de ESNI Checker, en CloudFlare. Si lo hemos hecho todo bien, la primera columna debería de aparecer en verde:

Ver el adjunto 75712


BONUS TRACK: Cómo combino esto con un pi-hole, ya funcionando en mi red, y que además filtra anuncios?
Muy sencillo, simplemente le diremos al pi-hole que su servidor de upstream, en lugar de ser un servidor público, es nuestro propio router. Así las peticiones ya vendrás resueltas por HTTPS del mundo exterior hasta nuestro router (seguras) y, a partir de la caché del propio router, el pi-hole aplicará su filtrado. Desactivamos la lista de Upstream DNS Servers de la izquierda, y en la derecha metemos uno personalizado, par IPv4.

Ver el adjunto 75709

RE-BONUS TRACK: ¿Puedo usar las extensiones de Families con DoH?
Si eras de los que usaba los DNS de CloudFlare con las extensiones de families que filtraban malware (1.1.1.2 / 1.0.0.2) y malware + porno (1.1.1.3 / 1.0.0.3), estás de suerte, puesto que sus equivalentes dominios existen para DoH. Serían estos:

Espero que os guste, y os resulte sencillo implementar esta solución.

Saludos!
en la opcion custom1 (IPv4) hay que poner la IP del mikrotik o la de la pi-hole ??
gracias y saludos
edito porque leyendo despacio he visto la respuesta :censored: :ROFLMAO:
 
Muchas gracias @pokoyo.
En el Bonus Track del Pi-hole añadiría lo que comentas en el mensaje:
A los novatos nos ayuda tener todo el proceso de configuración agrupado.
Un saludo
 
Última edición:
A ver si alguien puede ayudarme con una idea que se me ha ocurrido.
Siguiendo este hilo, tengo montado el Mikrotik y una Raspberry con Pi-hole. Estoy encantado con el filtrado.
En casa de un familiar muy cercano he instalado otro Mikrotik como router principal. ¿Seria posible configurar el router de mi familiar para que las peticiones DNS de su red pasarán por el Pi-hole de mi red?
Sé que podría conectar el router de mi familiar al mío por VPN o incluso por el túnel EoIP que describe @pokoyo en otro hilo, pero no sé si simplemente se podría configurar para que únicamente las peticiones DNS pasaran por mi equipo.
Gracias y un saludo
Un saludo
 
Se puede. Pero te va a resultar más fácil regalarle un raspberry pi con el pi-hole instalado para Reyes, que montar los túneles para que eso funcione.

Ademas, a menos que hagas caché local del dns ya filtrado en el segundo mikrotik, vas a penalizar lo que tarda en resolver dichas peticiones.

Piénsate lo del regalo, que seguro que se alegra cuando se lo montes!

Saludos!
 
Hola a todos. He implementado esto del DoH en mi router y todo bien, navegando, pero me ha surgido un problema. En mi casa tengo dos redes independientes, cada una con su bridge y su servidor DHCP. Pues bien, he configurado DoH y en mi red principal puedo navegar, pero en la segunda red no. He probado a meter los DNS de forma manual y así navego en ambas redes. Sabéis que puede ser?

Un saludo!
 
Hola a todos. He implementado esto del DoH en mi router y todo bien, navegando, pero me ha surgido un problema. En mi casa tengo dos redes independientes, cada una con su bridge y su servidor DHCP. Pues bien, he configurado DoH y en mi red principal puedo navegar, pero en la segunda red no. He probado a meter los DNS de forma manual y así navego en ambas redes. Sabéis que puede ser?

Un saludo!
Danos un export que lo veamos. Probablemente estés asignando otro servidor DNS por DHCP, ¿puede ser?

Saludos!
 
Danos un export que lo veamos. Probablemente estés asignando otro servidor DNS por DHCP, ¿puede ser?

Saludos!
He quitado DoH. Necesitaba tener funcionando la otra red y lo más rápido era volver a los DNS estáticos. Pero al configurarlo lo que hice fue lo que pones en el primer post, y para la red principal funciona sin problemas, lo que no se es que pasa con la segunda. Siempre se puede poner el DNS de forma manual para el servidor DHCP de la segunda red y solucionado, pero me extraña que DoH vaya en una y en otra no.

Un saludo!
 
Muchas gracias y agradecido por este magnifico tutorial @pokoyo !!
Hoy he tenido un rato por la tarde y , como ya tenía los certificados instalados, ha sido un minuto ponerlo a andar.
Parece que ahora la velocidad de navegación vuela.
Un saludo y buenas noches.
 
Muchas gracias y agradecido por este magnifico tutorial @pokoyo !!
Hoy he tenido un rato por la tarde y , como ya tenía los certificados instalados, ha sido un minuto ponerlo a andar.
Parece que ahora la velocidad de navegación vuela.
Un saludo y buenas noches.
Pues es raro! A menos que antes no estuvieras usando el mikrotik como servidor dns, el DoH de normal es más lento que el dns en plano.

Saludos!
 
Pues es raro! A menos que antes no estuvieras usando el mikrotik como servidor dns, el DoH de normal es más lento que el dns en plano.

Saludos!
Antes tenía pihole en el server. Me refiero a lo de rápido que entro en una página , cierro la página y el navegador, vuelvo a abrir la misma página y va muchísimo más rápido la carga o es mi apreciación. Jajajajaja

Es por la caché del mikrotik?


Enviado desde mi Mi MIX 2S mediante Tapatalk
 
Si, claro. Pero, si lo quieres ver en su plenitud, puedes sacar el DoH de la ecuación y hacer lo mismo (que todo el contenido le llegue ya filtrado al mikrotik, y que sea este tu resolver dns). Sin DoH va incluso más rápido.

Lo raro es que el pi-hole no te diera ese mismo resultado, porque también cachea las peticiones.

Saludos!
 
Si, claro. Pero, si lo quieres ver en su plenitud, puedes sacar el DoH de la ecuación y hacer lo mismo (que todo el contenido le llegue ya filtrado al mikrotik, y que sea este tu resolver dns). Sin DoH va incluso más rápido.

Lo raro es que el pi-hole no te diera ese mismo resultado, porque también cachea las peticiones.

Saludos!
Ufff, ya en ese aspecto me pierdo, jajajaja
Seguiré leyendo, probando y equivocandome para aprender más sobre RouterOs. El fin de semana mismo estaba trabajando detrás de la casa y de fondo escuchando unos vídeos sobre RouterOs y mikrotik en Youtube.
Así por lo menos me voy quedando con resquicios de cosas que voy oyendo y luego las pruebo. :)

Enviado desde mi Mi MIX 2S mediante Tapatalk
 
Nada, tú trastea y pregunta sin miedo. Mientras guardes un backup regular antes de ponerte a tocar y cambiar configuración, no deberías tener problema.

Saludos!
 
Arriba