Короткий пост-мануал о настройке DNS over HTTPS на Mikrotik.
На данный момент все делается достаточно легко и непринужденно.
В нулевых — обновитесь. DOH в микротике появился только с версии 6.47.
Во-первых, нужно скачать корневой сертификат с DigiCert по ссылке
https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
и установить его. Для этого в консоли Микротика пишем:
/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=””
Сертификат действителен до 2031го года, подозреваю, что к тому времени сдохнет или ишак, или падишах, так что вряд ли придется волноваться по поводу того, кто лучше знал богословие (с) Ходжа Насреддин.
После этого идем в раздел настройки IP -> DNS.
Там нам нужно во-первых — убрать из списка все лишние DNSы. Во-вторых, прописать
https://1.1.1.1/dns-query
В соответсвующее поле настроек. После чего выставить галочки "Verify DoH Certificate" и "Allow Remote Requests", как на картинке.
Последний и ключевой шаг — идем в настройки DHCP и говорим пулу раздавать в качестве DNS-сервера IP-адрес нашего Микротика. Если DHCP не настроен (А я все таки перестал бояться и полюбил раздачу адресов маршрутизатором вместо прописывания их на клиентах руками), то придется адрес микротика везде прописывать руками.
После чего можно в браузере зайти на https://1.1.1.1/help и проверить, заработало ли. Если используете Firefox, стоит снять галочку в сетевых настройках браузера, а то он и так через DOH ходит.
Кажется, ничего не забыл. А если забыл, прошу прощения.