Ada fitur terbaru di Mikrotik RouterOS versi 6.46 yaitu penambahan DNS over HTTPS atau DoH. ROS Versi 6.46 di luncurkan pada tanggal 2 Juni 2020, saat artikel ini di tulis, ROS Versi 6.46 baru tersedia di versi stable. DoH menggunakan remote DNS dengan port https, DoH hampir sama dengan DoT (DNS Over TLS).

DNS over HTTPS

Ketika mengunjungi situs dengan menggunakan HTTPS, permintaan DNS yang dikirim bisa saja tidak terenkripsi. Masalah lain jika tidak menggunakan DNS yang tidak terenkripsi yaitu adanya Man-In-The-Middle, orang lain bisa saja mengubah permintaan DNS untuk direct/membuka ke halaman yang tidak diinginkan, misalnya web phising/malware atau website yang berbahaya lainnya

Langkah-langkah menggunakan DoH pada Mikrotik

Karena fitur DoH ada di versi 6.46 stable, jadi kita harus upgrade dulu ROS ke versi tersebut. Pada percobaan kali ini saya menggunakan Mikrotik RB1100AHx2, karena Mikrotik ini belum di Upgrade jadi saya sekalian di Upgrade ke ROS Versi 6.46 Stable.

Langkah pertama yaitu kita harus mengupgrade dulu ROSnya, dengan cara ke Menu System—> Package, kemudian lakukan Download & Install, maka setelah di download maka Mikrotik akan restar sendiri, kemudian akan melakukan proses Upgrade.

Setelah berhasil di Upgrade maka akan ada fitur baru di menu IP–>DNS yaitu Use DoH Server.

Sebagai percobaan saya menggunakan DNS yang biasa dipakai, yaitu DNS Cloudflare dan DNS Google

  • https://cloudflare-dns.com/dns-query
  • https://dns.google/dns-query

Untuk menggunakan DoH Server caranya cukup menambahkan DOH Server di kolom Use DoH Server.

Langkah selanjutnya yaitu tambahkan DNS Static, dengan cara ke menu IP–>DNS–>Static buat dua dengan name cloudflare-dns.com Address: 104.16.248.249 dan 104.16.249.249

Konfigurasi DOH pada Mikrotik telah selesai, selanjutnya kita bisa mengecek apakah DOH telah aktif https://www.dnsleaktest.com

Server Cloudflare
Server Cloudflare

Jika menggunakan Server DoH Google tambahkan juga ke DNS Static

Server Google
Server Google

Atau dengan membuka https://1.1.1.1/help jika kita menggunakan server cloudflare.

Akan ada koneksi permintaan DNS dengan menggunakan port https/443

Menggunakan DoH dengan Certificate

Import certifikat dibawah ini dengan cara menjalankanya di Terminal

/tool fetch url=https://curl.haxx.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=””

Kemudian aktifkan Verify DoH Certificate

Hosted by URL Notes
Cloudflare https://cloudflare-dns.com/dns-query https://developers.cloudflare.com/1.1.1.1/dns-over-https/


PRIVACY POLICY: https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/privacy-policy/
And also see https://labs.apnic.net/?p=1127 for details of the APNIC/Cloudflare agreement as mentioned on the Register.

Cloudflare https://mozilla.cloudflare-dns.com/dns-query This server is announced as part of the Firefox Nightly shield study.
It has a different (stronger) privacy policy than the general Cloudflare DoH server above:
https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/firefox/
Google https://dns.google/dns-query RFC8484 (GET and POST)

https://developers.google.com/speed/public-dns/docs/doh/

Quad9 Various Please see https://www.quad9.net/doh-quad9-dns-servers/ for details
CleanBrowsing Various, see the CleanBrowsing website This service provides different end points with different filters (security, family, adult) so visit the website to select the end point with the filter you prefer.
Adguard Various, see https://adguard.com/en/blog/adguard-dns-announcement/
Comcast https://doh.xfinity.com/dns-query NOTE: This is currently a Public Beta trial.
https://corporate.comcast.com/privacy
https://corporate.comcast.com/stories/privacy-with-comcasts-xfinity-internet-service

Error yang terjadi

DoH server connection error: SSL: handshake failed: unable to get local issuer certificate (6). Error ini terjadi karena Certifikat yang di install untuk memvalidasi sertifikat https dari url server DNS tidak ditemukan

DoH Server connection error: idle timeoute – waiting data. Error ini terjadi karena DoH server tidak ditemukan atau ada kesalahan URL server DoH.

Referensi:

developers.cloudflare.com/1.1.1.1/dns-over-https/

jcutrer.com/howto/networking/mikrotik/mikrotik-dns-over-https

https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Public+Resolvers#DNSPrivacyPublicResolvers-DNS-over-HTTPS(DoH)

15 COMMENTS

  1. gan mau nanya untuk

    DoH Server connection error : ssl handshake timeout
    dan
    DoH Server connection error: idle timeoute – waiting data
    solusinya gmna ?

  2. utk lebih simple dan konfigurasi less error gunakan tips ini :

    /ip dns set servers=1.1.1.1,1.0.0.1
    /system ntp client set enabled=yes server-dns-names=time.cloudflare.com
    /tool fetch url=https://curl.haxx.se/ca/cacert.pem
    /certificate import file-name=cacert.pem passphrase=””
    /ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
    /ip dns set servers=””

      • /ip dns set servers=1.1.1.1,1.0.0.1
        /system ntp client set enabled=yes server-dns-names=time.cloudflare.com
        /tool fetch url=https://curl.haxx.se/ca/cacert-2020-06-24.pem
        /certificate import file-name=cacert-2020-06-24.pem passphrase=””
        /ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
        /ip dns set servers=””

        update certificate baru

      • /ip dns set servers=1.1.1.1,1.0.0.1
        /system ntp client set enabled=yes server-dns-names=time.cloudflare.com
        /tool fetch url=https://curl.haxx.se/ca/cacert-2020-06-24.pem
        /certificate import file-name=cacert-2020-06-24.pem passphrase=””
        /ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
        /ip dns set servers=””

  3. DoH server connection error: SSL: handshake failed: unable to get certificate CRL (6)

    selalu muncul pesan diatas, sudah coba ganti server

  4. mas cara mengetahui static dns nya gimana yah ?
    misal dns cloudflare :
    dns ipv4 >> 1.1.1.1 and 1.0.0.1
    static dns >>
    cloudflare-dns.com
    Address: 104.16.248.249 dan 104.16.249.249

    cara mengetahui alamat ini cloudflare-dns.com dan ip static 104.16.248.249. gimana cara nya yaa mas ?

    saya mau menggunakan dns quad9, tapi tidak tahu alamat dan static dns quad9

    terima kasih

  5. DOH bagus cuma di tempat saya kalo Rb yang speknya rendah, begitu koneksi internet putus atau reconnect maka di log dohnya mau nyambung ulang sedangkan koneksi internet belum pulih akan ngehang agak lama baru normal lagi.

  6. saya udah coba semuanya hasilnya sama.. sering Merah semua.. sekarang pakai Adguard.. Om Yayan Sopyan, S.Kom Reques bikinin script auto ganti dns saat ping 3x gak respon bisa langsung pindah dns.. Misal dari Adguard pindah ke Cloudflare, Google, Quad9 dll.. Terima Kasih.

    • bisa pake netwatch,,host ke IP Adguard
      pada script on up

      /ip dns set server=(IP ADGUARD);
      /ip dns cache flush;

      pada script down

      /ip dns set server=(DNS GOOGLE);
      /ip dns cache flush;

      Jadi ketika IP Adguard down, DNS Server akan berpindah secara otomatis begitupun ketika up kembali

Leave a Reply to samson9900 Cancel reply