MANUAL: Mikrotik, securizar el DNS usando DoH (DNS over HTTPS)

Aunque este tema estaba ya posteado no hace mucho...

Si usas firefox, eliges "no-proxy" y no pongas la ip de cloudflare, sino la de tu router mikrotik.
Hablo siempre que hayas habilitado decentemente el DOH (certificado) con el secuestro de DNS en tu router de borde.

Saludos.
 
Buenas noches a todos.

Estaba yo tan tranquilo por mi casa, y de repente veo que no tengo acceso a los domain names locales (del tipo router.lan). Accedo al router por IP, miro el log, y me encuentro un chorro de este tipo de mensajes:

1632427691524.png


Me resulta raro porque llevo bastante tiempo funcionando con esto, y hoy, sin venir a cuento, me da problemas.

¿Sabéis por qué puede ser? Voy a reiniciar el router a ver si se soluciona mágicamente, pero leches no me ha gustado nada que me deje de funcionar sin venir a cuento...

Gracias chicos, y saludos!!
 
Buenas noches a todos.

Estaba yo tan tranquilo por mi casa, y de repente veo que no tengo acceso a los domain names locales (del tipo router.lan). Accedo al router por IP, miro el log, y me encuentro un chorro de este tipo de mensajes:

Ver el adjunto 86778

Me resulta raro porque llevo bastante tiempo funcionando con esto, y hoy, sin venir a cuento, me da problemas.

¿Sabéis por qué puede ser? Voy a reiniciar el router a ver si se soluciona mágicamente, pero leches no me ha gustado nada que me deje de funcionar sin venir a cuento...

Gracias chicos, y saludos!!
Revisa si tienes la última versión de RouterOS instalada, me suena que esto lo corrigieron hace un tiempo. También te digo que el tema del DoH no ha llegado a ir muy fino nunca, así que es fácil que de vez en cuando te toque reiniciar el cacharro o al menos limpiarle la caché al dns, porque te de un fallo similar al que ves.

Saludos!
 
Revisa si tienes la última versión de RouterOS instalada, me suena que esto lo corrigieron hace un tiempo. También te digo que el tema del DoH no ha llegado a ir muy fino nunca, así que es fácil que de vez en cuando te toque reiniciar el cacharro o al menos limpiarle la caché al dns, porque te de un fallo similar al que ves.

Saludos!

Puff siempre voy con la última release, en este caso estoy en la 6.48.4.

Ya te digo nunca había tenido problemas tan serios. De vez en cuando pues comienza a escupir mensajes de log y sube la RAM bastante, luego se estabiliza y baja, pero de ahí a tirarme el servidor DNS del MikroTik... Es la primera vez que me ha pasado en ya bastante tiempo.

Nada, tienen el DoH mejor, pero no terminan de tenerlo fino fino. A ver si en la 7 funciona mejor. Y si no, me plantearé prescindir de él.

Gracias!!
 
Puff siempre voy con la última release, en este caso estoy en la 6.48.4.

Ya te digo nunca había tenido problemas tan serios. De vez en cuando pues comienza a escupir mensajes de log y sube la RAM bastante, luego se estabiliza y baja, pero de ahí a tirarme el servidor DNS del MikroTik... Es la primera vez que me ha pasado en ya bastante tiempo.

Nada, tienen el DoH mejor, pero no terminan de tenerlo fino fino. A ver si en la 7 funciona mejor. Y si no, me plantearé prescindir de él.

Gracias!!
Yo no lo uso. Y, de hacerlo, me lo llevaría al pi-hole. Creo que es un sitio más apropiado para ello, centralizando el dns en ese dispositivo.

Saludos!
 
Yo no lo uso. Y, de hacerlo, me lo llevaría al pi-hole. Creo que es un sitio más apropiado para ello, centralizando el dns en ese dispositivo.

Saludos!

La gracia de todo esto es que yo lo tengo en AdGuard. Pero también lo configuré en MikroTik por si fallase la Raspberry por algún motivo.

Lo cual hace ver lo absurdo que es tenerlo en el MikroTik, si. Para un 1% de las veces que puede usar el DNS de MikroTik, y lo tengo configurado para que use DoH con algun que otro problema...
 
La gracia de todo esto es que yo lo tengo en AdGuard. Pero también lo configuré en MikroTik por si fallase la Raspberry por algún motivo.

Lo cual hace ver lo absurdo que es tenerlo en el MikroTik, si. Para un 1% de las veces que puede usar el DNS de MikroTik, y lo tengo configurado para que use DoH con algun que otro problema...
De hecho, si en award tienes DoH, te diría que lo lógico sería que en el mikrotik no lo tuvieras, tal que fuera un backup real cuando el dns cifrado falle. Así entregas en el dhcp como primer dns uno cifrado, y como alternativo la propia ip del router, sin cifrar. Yo, al menos, lo configuraría así.

Saludos!
 
Hola buenas
Yo no he conseguido hacerlo funcionar, sigo los pasos del primer post y cuando acabó no puedo navegar.

Enviado desde mi SM-G986B mediante Tapatalk
Adjunta tu configuración concreta y lo vemos.

Saludos!
 
Buenos días,

Me aventuré ayer a actualizar la rpi y se fue todo al garete. Así que reinstalé de 0, y aproveché para instalar a la vez el controller de Unifi en la propia rpi.

Ahora bien, en las opciones no aparece como en el primer post "listen", sino "respond" y "bind".

1647155589929.png


Cual sería la correcta?

De paso, hay que configurar algo más en "pi-hole"?

Muchas gracias

Un saludo
 
El modo correcto, para una situación normal, sería el que tienes seleccionado (respond). Si además sólo vas a usar la pi en tu red local, puedes marcar el flag verde de arriba, el de “allow only local requests”, que lo que hace es responder a peticiones dns sólo si quien las pide está a un salto (hop) de tu red, es decir, en tu misma red.

Eso sí, yo no lo mandaría a consultar peticiones dns de tu router como upstream, sino de un dns público.

Saludos!
 
El modo correcto, para una situación normal, sería el que tienes seleccionado (respond). Si además sólo vas a usar la pi en tu red local, puedes marcar el flag verde de arriba, el de “allow only local requests”, que lo que hace es responder a peticiones dns sólo si quien las pide está a un salto (hop) de tu red, es decir, en tu misma red.

Eso sí, yo no lo mandaría a consultar peticiones dns de tu router como upstream, sino de un dns público.

Saludos!
Uso WireGuard, igualmente se puede poner la opción de “allow only local requests”?

Y lo mando a consultar petiones DNS al router como upstream porque es lo que indicabas en el primer post (el mikrotik lo tengo configurado con el DoH)

Entonces como lo dejo?
 
Uso WireGuard, igualmente se puede poner la opción de “allow only local requests”?

Y lo mando a consultar petiones DNS al router como upstream porque es lo que indicabas en el primer post (el mikrotik lo tengo configurado con el DoH)

Entonces como lo dejo?
Puedes implementar DoH en la Pi, sería la alternativa. Si usas esto para una vpn también, no marques la casilla del “allow only local requests”

Saludos!
 
Puedes implementar DoH en la Pi, sería la alternativa. Si usas esto para una vpn también, no marques la casilla del “allow only local requests”

Saludos!
Y que ventajas tendría?

Yo he seguido los pasos del primer post. Todo lo hace el Mikrotik, y pi-hole tan solo bloqueo de anuncios
 
yo lo estoy haciendo con el de adguard y de momento bien, eso sí, no tengo marcado que chequee el certificado
 
Arriba