Короткий пост-мануал о настройке DNS over HTTPS на Mikrotik.

На данный момент все делается достаточно легко и непринужденно.

В нулевых — обновитесь. DOH в микротике появился только с версии 6.47.

Во-первых, нужно скачать корневой сертификат с DigiCert по ссылке

https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem

и установить его. Для этого в консоли Микротика пишем:

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=””

Сертификат действителен до 2031го года, подозреваю, что к тому времени сдохнет или ишак, или падишах, так что вряд ли придется волноваться по поводу того, кто лучше знал богословие (с) Ходжа Насреддин.

После этого идем в раздел настройки IP -> DNS.

Там нам нужно во-первых — убрать из списка все лишние DNSы. Во-вторых, прописать

https://1.1.1.1/dns-query

В соответсвующее поле настроек. После чего выставить галочки "Verify DoH Certificate" и "Allow Remote Requests", как на картинке.

Последний и ключевой шаг — идем в настройки DHCP и говорим пулу раздавать в качестве DNS-сервера IP-адрес нашего Микротика. Если DHCP не настроен (А я все таки перестал бояться и полюбил раздачу адресов маршрутизатором вместо прописывания их на клиентах руками), то придется адрес микротика везде прописывать руками.

После чего можно в браузере зайти на https://1.1.1.1/help и проверить, заработало ли. Если используете Firefox, стоит снять галочку в сетевых настройках браузера, а то он и так через DOH ходит.

Кажется, ничего не забыл. А если забыл, прошу прощения.