Ada fitur terbaru di Mikrotik RouterOS versi 6.46 yaitu penambahan DNS over HTTPS atau DoH. ROS Versi 6.46 di luncurkan pada tanggal 2 Juni 2020, saat artikel ini di tulis, ROS Versi 6.46 baru tersedia di versi stable. DoH menggunakan remote DNS dengan port https, DoH hampir sama dengan DoT (DNS Over TLS).
DNS over HTTPS
Ketika mengunjungi situs dengan menggunakan HTTPS, permintaan DNS yang dikirim bisa saja tidak terenkripsi. Masalah lain jika tidak menggunakan DNS yang tidak terenkripsi yaitu adanya Man-In-The-Middle, orang lain bisa saja mengubah permintaan DNS untuk direct/membuka ke halaman yang tidak diinginkan, misalnya web phising/malware atau website yang berbahaya lainnya
Langkah-langkah menggunakan DoH pada Mikrotik
Karena fitur DoH ada di versi 6.46 stable, jadi kita harus upgrade dulu ROS ke versi tersebut. Pada percobaan kali ini saya menggunakan Mikrotik RB1100AHx2, karena Mikrotik ini belum di Upgrade jadi saya sekalian di Upgrade ke ROS Versi 6.46 Stable.
Langkah pertama yaitu kita harus mengupgrade dulu ROSnya, dengan cara ke Menu System—> Package, kemudian lakukan Download & Install, maka setelah di download maka Mikrotik akan restar sendiri, kemudian akan melakukan proses Upgrade.
Setelah berhasil di Upgrade maka akan ada fitur baru di menu IP–>DNS yaitu Use DoH Server.
Baca juga:
- Cara Install Docker Portainer di Ubuntu
- Cara Install AdGuard Home di STB
- Cara Membuat DOH (DNS Over HTTPS) dengan Adguard Home
- Konfigurasi AdGuard Home di Mikrotik
- AdGuard Home atau Pi-Hole Manakah yang Lebih Baik?
Sebagai percobaan saya menggunakan DNS yang biasa dipakai, yaitu DNS Cloudflare dan DNS Google
- https://cloudflare-dns.com/dns-query
- https://dns.google/dns-query
Untuk menggunakan DoH Server caranya cukup menambahkan DOH Server di kolom Use DoH Server.
Langkah selanjutnya yaitu tambahkan DNS Static, dengan cara ke menu IP–>DNS–>Static buat dua dengan name cloudflare-dns.com Address: 104.16.248.249 dan 104.16.249.249
Konfigurasi DOH pada Mikrotik telah selesai, selanjutnya kita bisa mengecek apakah DOH telah aktif https://www.dnsleaktest.com
Jika menggunakan Server DoH Google tambahkan juga ke DNS Static
Atau dengan membuka https://1.1.1.1/help jika kita menggunakan server cloudflare.
Akan ada koneksi permintaan DNS dengan menggunakan port https/443
Menggunakan DoH dengan Certificate
Import certifikat dibawah ini dengan cara menjalankanya di Terminal
/tool fetch url=https://curl.haxx.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=””
Kemudian aktifkan Verify DoH Certificate
Error yang terjadi
DoH server connection error: SSL: handshake failed: unable to get local issuer certificate (6). Error ini terjadi karena Certifikat yang di install untuk memvalidasi sertifikat https dari url server DNS tidak ditemukan
DoH Server connection error: idle timeoute – waiting data. Error ini terjadi karena DoH server tidak ditemukan atau ada kesalahan URL server DoH.
Referensi:
developers.cloudflare.com/1.1.1.1/dns-over-https/
jcutrer.com/howto/networking/mikrotik/mikrotik-dns-over-https
gan mau nanya untuk
DoH Server connection error : ssl handshake timeout
dan
DoH Server connection error: idle timeoute – waiting data
solusinya gmna ?
DoH Server connection error: idle timeoute – waiting data. Error ini terjadi karena DoH server tidak ditemukan atau ada kesalahan URL server DoH.
coba cari server DoH yg lain
utk lebih simple dan konfigurasi less error gunakan tips ini :
/ip dns set servers=1.1.1.1,1.0.0.1
/system ntp client set enabled=yes server-dns-names=time.cloudflare.com
/tool fetch url=https://curl.haxx.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=””
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=””
okee bang tips nya mantap
/ip dns set servers=1.1.1.1,1.0.0.1
/system ntp client set enabled=yes server-dns-names=time.cloudflare.com
/tool fetch url=https://curl.haxx.se/ca/cacert-2020-06-24.pem
/certificate import file-name=cacert-2020-06-24.pem passphrase=””
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=””
update certificate baru
/ip dns set servers=1.1.1.1,1.0.0.1
/system ntp client set enabled=yes server-dns-names=time.cloudflare.com
/tool fetch url=https://curl.haxx.se/ca/cacert-2020-06-24.pem
/certificate import file-name=cacert-2020-06-24.pem passphrase=””
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=””
Om.. klo pakai Adguard scriptnya gimana yaa..?? Buatin donkk..
DoH server connection error: SSL: handshake failed: unable to get certificate CRL (6)
selalu muncul pesan diatas, sudah coba ganti server
Bang, ane coba ada error:
DoH server connection error: Network is unreachable
Ada solusi?
Trims.
Certificate kok Not Ok di Log keterangannya, apa ini masi beta fitur ini di mikrotiknya
ada cara lain ga mas
mas cara mengetahui static dns nya gimana yah ?
misal dns cloudflare :
dns ipv4 >> 1.1.1.1 and 1.0.0.1
static dns >>
cloudflare-dns.com
Address: 104.16.248.249 dan 104.16.249.249
cara mengetahui alamat ini cloudflare-dns.com dan ip static 104.16.248.249. gimana cara nya yaa mas ?
saya mau menggunakan dns quad9, tapi tidak tahu alamat dan static dns quad9
terima kasih
kalau quad9 coba kesini
https://www.quad9.net/doh-quad9-dns-servers/
DOH bagus cuma di tempat saya kalo Rb yang speknya rendah, begitu koneksi internet putus atau reconnect maka di log dohnya mau nyambung ulang sedangkan koneksi internet belum pulih akan ngehang agak lama baru normal lagi.
saya udah coba semuanya hasilnya sama.. sering Merah semua.. sekarang pakai Adguard.. Om Yayan Sopyan, S.Kom Reques bikinin script auto ganti dns saat ping 3x gak respon bisa langsung pindah dns.. Misal dari Adguard pindah ke Cloudflare, Google, Quad9 dll.. Terima Kasih.
bisa pake netwatch,,host ke IP Adguard
pada script on up
/ip dns set server=(IP ADGUARD);
/ip dns cache flush;
pada script down
/ip dns set server=(DNS GOOGLE);
/ip dns cache flush;
Jadi ketika IP Adguard down, DNS Server akan berpindah secara otomatis begitupun ketika up kembali
udah ngikutin tutor pernah sukses, tapi setelah saya reset to factory hap lite nya saya setting dg cara yg sama lagi, kenapa di dnsleak nya masih nongol Telkom di atasnya ya sementara cloudflare nya paling bawah
jika memakai dhcp client di cek juga apakah “use peer dns” aktif
pas saya coba pake certificate, pas bagian /certificate import file-name=cacert.pem passphrase=””
yang keluar adalah:
certificates-imported: 0
private-keys-imported: 0
files-imported: 0
decryption-failures: 0
keys-with-no-certificate: 0
kenapa ya?
fle cerert.pem sudah ada di file manager belum mas?
minta tolong di update /tool fetch url=https://curl.se/ca/cacert.pem
thanks ilmunya
untuk indihome memang ga bisa ya gan? tetep saja terbaca dn telkom
selama ini di mikrotik saya pakai doh cloudflare di cloudflare zero trust dan mengatur firewall policies. awalnya berjalan normal dari segi kecepatan dan respon. tapi sejak mengaktifkan ipv6 di mikrotik kecepatan normal tapi jadi kurang responsif. bagaimana aturan yang baik di mikrotik supaya tetap responsif?