MANUAL: Mikrotik, securizar el DNS usando DoH (DNS over HTTPS)

Nada, tú trastea y pregunta sin miedo. Mientras guardes un backup regular antes de ponerte a tocar y cambiar configuración, no deberías tener problema.

Saludos!
Tengo una duda que me surgió hoy @pokoyo, respecto a este tutorial.
Leyendo hace tiempo, se habla de nextdns y quisiera saber si podría seguir este tutorial y añadir sus Dns. Muchas gracias por todo.

Enviado desde mi Mi MIX 2S mediante Tapatalk
 
Claro, puedes usar el proveedor de DNS que te venga en gana, siempre que soporte DoH. Yo sólo puse un ejemplo de cómo hacerlo con Cloudflare, pero es indistinto del proveedor.

Bájate el certificado de ese proveedor y configuralo. El detalle del setup lo tienes aquí

Saludos!
 
Claro, puedes usar el proveedor de DNS que te venga en gana, siempre que soporte DoH. Yo sólo puse un ejemplo de cómo hacerlo con Cloudflare, pero es indistinto del proveedor.

Bájate el certificado de ese proveedor y configuralo. El detalle del setup lo tienes aquí

Saludos!
Muchas gracias , voy a probar a ver qué tal va

Enviado desde mi Mi MIX 2S mediante Tapatalk
 
Buenas tardes chicos.

No estoy seguro de que sea esto, puede que sea casualidad, pero desde que activé el DoH, no notáis que vuestro MikroTik come RAM como un cerdo? Lo peor que es cada día va a peor, no se donde estará el límite...

1612195966586.png


La gráfica empecé a grabarla hace 3 días, pero lleva esa constante de crecimiento desde la última vez que reinicié el MikroTik. Mañana ya debería superar el 50% de uso de la RAM.

¿Cómo se comportan vuestros Mikrotik?

Un saludo!
 
Hola,
Tuve muchos problemas tras actualizar a la stable 6.48 mi RB3011.
Hice un downgrade a la long-term 6.46.8, y se solucionaron los problemas, pero se perdía el DOH.

Ahora tengo instalada la stable 6.47.8 y aparte de ir todo aparentemente bien, vuelvo a tener DOH.
Lo mismo te sirve a ti también.

Suerte y saludos.
 
Estás saliendo por los DNS dinámicos de tu ISP. Quítalos de la conexión WAN, de la que salgas. Si tu conexión WAN se establece por cliente dhcp, ve a IP -> DHCP Client, y desmarcas el "Use Peer DNS"

Ver el adjunto 75760Una vez hecho, reinicias el equipo para que limpie la caché y arranques desde cero (o le borras las caché DNS a mano)

Saludos!
el user peer NTP tambien tiene que estar desmarcado??
 
Si no quieres que tu proveedor ISP actualice la hora de tu router, sí, quítalo también. Yo los tengo los dos desmarcados, ya que el propio IP -> Cloud lleva implícito un servidor NTP.

Saludos!
 
Bueno pues con respecto al consumo de la memoria del MikroTik usando DoH (en la versión 6.48 de RouterOS). Al llegar al 50% ha dado una bajada considerable:

1612357019289.png


Es como si dejase acumular cosas, y tras llegar al 50% comienza a liberar recursos. Algo muy curioso...

@pokoyo creo que tu usas también DoH en tu router de Producción. ¿Has notado algo desde que usas el DoH?

¡Saludos!
 
No, no lo uso. No sabría decirte. ¿Podría ser simplemente la caché del DNS?

Saludos!
 
No, no lo uso. No sabría decirte. ¿Podría ser simplemente la caché del DNS?

Saludos!

Pues la verdad es que no lo se. Lo iba a quitar, pero bueno viendo que se recupera al 50%, pues lo dejaré y estaré atento, a ver si lo van puliendo en versiones posteriores
 
Pues la verdad es que no lo se. Lo iba a quitar, pero bueno viendo que se recupera al 50%, pues lo dejaré y estaré atento, a ver si lo van puliendo en versiones posteriores
Tienes una raspberry pi con un pi-home montado? Si lo tienes, una buena opción es llevarse DoH allí. Hay que cacharrear un poco con un script, pero está muy bien documentadlo.

Daos cuenta de que los manuales son meramente didácticos, no tengo implementado en casa todo lo que pongo ahí. Son cosas que voy probando y con las que voy jugando, pero no todas llego a aplicarlas en mi red.

Saludos!
 
Buenas, estoy intentando poner en práctica la "securización" y llego hasta la prueba del test pero la primera columna me da error. Lo único que veo distinto es que no consigo quitar los "dynamic servers" por lo que he buscado y parece ser que se pueden quitar con la terminal añadiendo /ip dhcp-client set use-peer-dns=no y, cuando pide el número, se le indica 0.

He probado, pero sigue dando error en la primera columna del test y siguen estando los dynamic servers en la pantalla. No se si es que tengo que reiniciar el router.........
 

Adjuntos

  • PANTALLAZO.jpg
    PANTALLAZO.jpg
    248.6 KB · Visitas: 13
  • TEST.jpg
    TEST.jpg
    280.7 KB · Visitas: 19
Última edición:
Gracias stargate4you, me di cuenta, lo modifiqué y cambié la imagen a los pocos minutos de subirlo, pero seguía igual. Me he decidido a reiniciar el router y ya funciona todo. Muchas gracias. De todas formas, veo que siguen apareciendo los dynamic servers pero supongo que no pasa nada, que no los usa ¿O hay algo más que hacer?
 

Adjuntos

  • testnuevo.jpg
    testnuevo.jpg
    269.7 KB · Visitas: 15
  • siguensaliendo.jpg
    siguensaliendo.jpg
    233.3 KB · Visitas: 15
Ufff, mi gozo en un pozo. He cantado demasiado pronto victoria. He vuelto a hacer un test, sin tocar nada, y si lo hago varias veces, va oscilando entre el primer y segundo test ( de los 4 ) que me dice que no lo pasa. En ocasiones, no pasa el 1, otras el 2, otras las 2, otras bien. ¿Es por hacer varias veces el test o es porque lo de que sigan apareciendo en la configuración los dynamic servers produce esto? o_O
 
Última edición:
Si usas esto, los servidores dinámicos no pintan nada, quítalos de tu interface WAN

Saludos!
 
Por mucho que busco no consigo ver cómo hacerlo. He estado buscando y nada, he probado por intenet y parece ser que metiendo en la terminal /ip dhcp-client set use-peer-dns=no y, cuando pide el número, se le indica 0 debía solucionarlo, pero nada.

A no ser que tenga que ser en la ..... ¿ONT?
 
¿A qué tienes conectado el router, a una ONT? Si es así, ¿de qué operador? Dependiendo de tu tipo de conexión, así se tocará en un sitio o en otro.

Saludos!
 
¿A qué tienes conectado el router, a una ONT? Si es así, ¿de qué operador? Dependiendo de tu tipo de conexión, así se tocará en un sitio o en otro.

Saludos!
El router está conectado a una ont. Tengo o2. Me pusieron el HGU pero lo sustituí por ont y mikrotik.

Enviado desde mi Mi 9T Pro mediante Tapatalk
 
Arriba