MANUAL: Mikrotik, securizar el DNS usando DoH (DNS over HTTPS)

Ok, gracias. Mañana te lo paso para cuando puedas mirarlo. Lo de la DNS lo miré y creo que está bien ya que te hice caso y ya tengo todos los equipos con IP dinámica pero haciéndola estática desde el mikrotik.

Enviado desde mi Mi 9T Pro mediante Tapatalk
 
Más allá del reinicio diario, totalmente innecesario y de mezclar conceptos (metes las IP's estáticas de Cloudflare en el DNS, pero luego en tus pantallazos me dices que configura https://1.1.1.1.1/dns-query como resolver DoH), no veo nada raro en tu configuración.
Por otro lado, al IP -> Cloud no necesita que le definas un intervalo de actualización, lo hace él solito bastante más eficiente: cuando detecta un cambio, actualiza la IP.

Miraría más las opciones del navegador que te está dando guerra.

Saludos!
 
Gracias por mirarlo. Lo de las IP es porque fui probando todas las opciones de las 3 que indicas a ver si alguna funcionaba sin resultado. Supongo que te pasaría algún pantallazo de una de las opciones. En cuanto al reinicio lo dejé así porque al principio, hace meses, a veces se quedaba trabado Netflix y tenía que reiniciar el router por lo que ya lo dejé por costumbre.

De todas formas he desistido ya que se me ha ocurrido mirar si había actualizaciones como me dijiste desde el router y me daba error al intentar comprobar las actualizaciones. He optado por recuperar el backup hasta antes de este paso y dejar hasta la VPN por el momento.
He probado en un Mac y en otro pc y siempre da el problema con Firefox. No se.

Gracias por todo.

Enviado desde mi Mi 9T Pro mediante Tapatalk
 
Última edición:
Te cuento como lo tengo yo en mi firefox, que lo mismo te soluciona el tema.

En la barra de URL del navegador pones about:config
01.png


Después debes 1º buscar escribiendo SNI y 2º cambiando el valor a TRUE (como ves en la imagen)
02.png


Finalmente y como te aconsejó @pokoyo, desabilitar la búsqueda del DOH en el navegador.
Ya que lo tienes configurado en tu router, lo mejor es apuntar hacia él.
03.png


También podrías hacer un secuestro del tráfico de DNS si tienes muchos "aparatejos"
de domótica, etc. que suelen hacer lo que quieren, y así los fuerza a usar la DNS que tu decides.

Espero te haya servido.
Suerte y saludos.

 
Última edición:
Muchas gracias por la idea. Por ahora he vuelto a la configuración previa antes de ponerme con este tema pero como tengo una copia de la configuración que no me acababa de funcionar lo probaré en cuanto tenga un rato. En cuanto a lo de la domótica es mi intención ya que lo tengo todo preparado para instalarlo y comenzar a configurarlo pero por el momento solamente tengo en la red unos cuantos ordenadores, un servidor y unos cuantos fire stick. En unas semanas tenía pensado ponerme en serio con la domótica.
 
Más allá del reinicio diario, totalmente innecesario y de mezclar conceptos (metes las IP's estáticas de Cloudflare en el DNS, pero luego en tus pantallazos me dices que configura https://1.1.1.1.1/dns-query como resolver DoH), no veo nada raro en tu configuración.
Por otro lado, al IP -> Cloud no necesita que le definas un intervalo de actualización, lo hace él solito bastante más eficiente: cuando detecta un cambio, actualiza la IP.

Miraría más las opciones del navegador que te está dando guerra.

Saludos!
Bueno, te he hecho caso y he quitado lo del reinicio diario y lo del intervalo de actualización de la ip.
 
En unas semanas tenía pensado ponerme en serio con la domótica.
Aquí te paso unas líneas para el cortafuegos que te ayudarán con el secuestro de las DNS:
Yo las tenía de otra forma (@pokoyo sugirió la modificación), y ahora las tengo así:
/ip firewall nat
add action=dst-nat chain=dstnat src-address=192.168.1.0/24 comment="DNS hijacking" dst-port=53 protocol=udp to-addresses=192.168.1.1 to-ports=53
add action=dst-nat chain=dstnat src-address=192.168.1.0/24 comment="DNS hijacking" dst-port=53 protocol=tcp to-addresses=192.168.1.1 to-ports=53
Con esto evitas que los fire-stick, android-tv, cromecast, etc. pasen olímpicamente de tu DNS
y se vayan a pedir a google, etc.

Osea, el control de las DNS es totalmente tuyo !!! (o casi).
Todavía queda mucho camino que andar en materia de DNS.

En cuanto a lo de la domótica es mi intención ya que lo tengo todo preparado para instalarlo y comenzar a configurarlo pero por el momento solamente tengo en la red unos cuantos ordenadores, un servidor y unos cuantos fire stick.
Yo también tengo, aparte de los PCs, Móviles, Tablets, consolas, etc. un NAS de QNAP
y un Servidor con PROXMOX, que quiero proteger un poco más, poniendo un sistema
de red con ruteo estático o dinámico (tipo capa 3) tirando de OSPF.

Andaba mirando entre un RB4011 (sin wifi) y un CCR1009 para ponerlo de borde y
dejar el RB3011 detrás ruteando, pero de momento tendrá que esperar, o me echan
de casa. jajajaja

Necesitaré la ayuda del amigo @pokoyo, para esta ardua y a la vez excitante labor de
configurar todo fino para que vaya como la seda.

De domótica tengo poca cosa de momento, pero va ocupando poco a poco los rincones
de la casa. Bombillas, enchufes, sensores, etc. Estos "bichitos" parece que se replican por
sí sólos, cada vez hay más. jeje

Suerte y saludos.
 
Última edición:
Como siempre, currada del amigo @pocoyo

Muchas gracias por compartirlo con nosotros! Funcionando a la primera, incluyendo "bonus track" del pi-hole (bendito chisme).

Saludos!!
 
Otro más funcionando + "bonus TRACK" de pi hole.

Otro manual top del crack de @pocoyo , muchas gracias!!

Saludos

Enviado desde mi MI10T pro
 
Jejeje, qué éxito está teniendo el DoH! Y yo ni lo uso! :ROFLMAO:

No obstante, me alegro de que os guste.

Saludos!
 
pokoyo:

Jejeje, qué éxito está teniendo el DoH! Y yo ni lo uso! :ROFLMAO:
Ahora mismo, no es que sirva de mucho. Que digamos.
Sólo que nos filtra el tráfico DNS de miradas indiscretas.
Pero la solicitud sigue siendo plana. Me explico:

Después de que se les diera a las operadoras, carta blanca para proteger su IPTV,
se han dedicado a filtrarnos que podemos visitar y que no, a través de las DNS
con SNI.

El DOH no es del todo efectivo, si el "Client Hello" no va cifrado también.
Mozilla está cambiando cosas al respecto, de hecho el ESNI ya no es configurable
en el navegador pues, desde la versión 85 de firefox se cambió por ECH.

Para aquellos que usen el DOH de cloudflare, podemos comprobarlo en el siguiente enlace:
https://www.cloudflare.com/es-es/ssl/encrypted-sni/
Los cuatro chequeos deben ser verdes, y de momento nos falta el último.

Como siempre, vamos un paso atrás.
Así que...paciencia y pasito tún-tún.
Saludos.
 
Última edición:
A ver DoH al final puedo pasar sin ello yo y todos, pero cierto es que nadie debería saber qué es lo que mira la gente y mucho menos comercializar con ello. Por eso en principio me resulta muy interesante eso y quitar la publicidad , que me molesta no sabéis de que manera, de hecho yo siempre he usado Brave como navegador, por eso mismo y de YouTube porque no puedo quitarla que sino también fuera (pagando la única manera).

Lo que no tengo claro del todo si el pi hole está funcionando de manera efectiva.

Me explico: anteriormente de tener la red en mikrotik tenía configurado, de servidor DNS la dirección IP de la Raspberry y de segundo 1.1.1.1 de cloudflare y era la Raspberry quien respondía las peticiones DNS así filtraba la publicidad.

De esta forma tengo la sensación que en el Dashboard de pi hole me aparecen las todas las peticiones que obtiene tanto las aceptadas como las bloqueadas pero seguía viendo publicidad bastante publicidad como si pi hole estuviera contabilizando que ha bloqueado todas las peticiones que aparecen en su blocklist pero que el navegador (firefox) finalmente es capaz de mostrar toda la publicidad.

He estado un rato probando y con esa sensación me he quedado, cierto es que no me ha dado mucho tiempo a hacer varias pruebas porque he tenido que marchar a trabajar.

Pero vamos ya iré diciendo, no obstante con esa sensación me he quedado, no se.

Saludos



Enviado desde mi MI10T pro
 
Por eso en principio me resulta muy interesante eso y quitar la publicidad , que me molesta no sabéis de que manera, de hecho yo siempre he usado Brave como navegador, por eso mismo y de YouTube porque no puedo quitarla que sino también fuera (pagando la única manera).

Lo que no tengo claro del todo si el pi hole está funcionando de manera efectiva.
Bueno,
Pi-Hole no tiene nada que ver con DOH aunque pueda estar o no relacionada en su que-hacer.

Respecto al tema anti propagandas, tienes también otra opción interesante llamada: ADGUARD !!!

Ambas facciones defienden según que.
Los hay defensores de una o detractores de la otra.
Para mí, son muy parecidas y cumplen la misma misión.

Para muestra, un millo:
Pi-Hole: https://pi-hole.net
Adguard: https://adguard.com

Saludos.
 
A ver DoH al final puedo pasar sin ello yo y todos, pero cierto es que nadie debería saber qué es lo que mira la gente y mucho menos comercializar con ello. Por eso en principio me resulta muy interesante eso y quitar la publicidad , que me molesta no sabéis de que manera, de hecho yo siempre he usado Brave como navegador, por eso mismo y de YouTube porque no puedo quitarla que sino también fuera (pagando la única manera).

Lo que no tengo claro del todo si el pi hole está funcionando de manera efectiva.

Me explico: anteriormente de tener la red en mikrotik tenía configurado, de servidor DNS la dirección IP de la Raspberry y de segundo 1.1.1.1 de cloudflare y era la Raspberry quien respondía las peticiones DNS así filtraba la publicidad.

De esta forma tengo la sensación que en el Dashboard de pi hole me aparecen las todas las peticiones que obtiene tanto las aceptadas como las bloqueadas pero seguía viendo publicidad bastante publicidad como si pi hole estuviera contabilizando que ha bloqueado todas las peticiones que aparecen en su blocklist pero que el navegador (firefox) finalmente es capaz de mostrar toda la publicidad.

He estado un rato probando y con esa sensación me he quedado, cierto es que no me ha dado mucho tiempo a hacer varias pruebas porque he tenido que marchar a trabajar.

Pero vamos ya iré diciendo, no obstante con esa sensación me he quedado, no se.

Saludos



Enviado desde mi MI10T pro
En el mikrotik no metas el pi-hole en IP->dns, a menos que lo hagas solo. Lo que defines en ese apartado son un array de servidores, y el router dispara a ambos indistintamente, de aquí que solo filtres cuando vayas por el pi-hole. Si quieres hacerlo como primario el pi-hole y secundario uno público, eso se hace en el DHCP, entregando ahí los DNS (entregas como primario el del pi-hole, y como secundario el propio router, por ejemplo)

Con ese tema me rompí yo la cabeza un buen rato, hasta que entendí cómo funcionaba.

Saludos!
 
En el mikrotik no metas el pi-hole en IP->dns, a menos que lo hagas solo.....
....Con ese tema me rompí yo la cabeza un buen rato, hasta que entendí cómo funcionaba.
Completamente de acuerdo. Ojito, y cuidado o la liamos.
Yo con Pi-Hole monté un bucle sin-fin del que casi no salgo.
Lo reconozco !!!

Hoy lo tengo dockerizado en un NAS de Qnap, y va perfecto.
Lo tenía en una RB3+ pero petaba la SD contínuamente.

Saludos.
 
En el mikrotik no metas el pi-hole en IP->dns, a menos que lo hagas solo. Lo que defines en ese apartado son un array de servidores, y el router dispara a ambos indistintamente, de aquí que solo filtres cuando vayas por el pi-hole. Si quieres hacerlo como primario el pi-hole y secundario uno público, eso se hace en el DHCP, entregando ahí los DNS (entregas como primario el del pi-hole, y como secundario el propio router, por ejemplo)

Con ese tema me rompí yo la cabeza un buen rato, hasta que entendí cómo funcionaba.

Saludos!
No no le he metido en el mikrotik nada. Simplemente he seguido el manual de DoH tal y como lo tenéis ahí.

Sólo que veo en el Dashboard de pi hole que resuelve todas las peticiones y acepta algunas y bloquea otras pero en otros navegadores que no son Brave, sigo viendo toda la publicidad diría yo.

No se , la verdad sea dicha con esa sensación me he ido de casa, pero tampoco me ha dado tanto tiempo a probar, tenía la percepción de que pi hole contabiliza las peticiones DNS tanto las buenas como las que bloquea pero en el navegador veo toda la publicidad como si no bloqueara nada.

Saludos

Enviado desde mi MI10T pro
 
Bueno,
Pi-Hole no tiene nada que ver con DOH aunque pueda estar o no relacionada en su que-hacer.

Respecto al tema anti propagandas, tienes también otra opción interesante llamada: ADGUARD !!!

Ambas facciones defienden según que.
Los hay defensores de una o detractores de la otra.
Para mí, son muy parecidas y cumplen la misma misión.

Para muestra, un millo:
Pi-Hole: https://pi-hole.net
Adguard: https://adguard.com

Saludos.
Si si adguard también había leído de él y visto algún vídeo.

Pero es de pago y pi hole gratuito. Además en su día tuve montado pi hole y la verdad sea dicha estaba contento con el. A ver no filtra todo pero gran parte si.

Saludos



Enviado desde mi MI10T pro
 
Por favor, infórmate bien !!!
Ninguno de los dos son de pago.
Ambos son gratuítos !!!
Oye lo que he visto en su web. Que igual hay alguna manera de ponerlo gratis, seguramente.

Pero de hecho te subo una captura de precios de su web de ahora mismo.


Enviado desde mi MI10T pro
 
Gracias por el apunte.
Ciértamente Adguard, ya no es gratis.
Vaya faena, con lo bien que iban...
 
Arriba