MikroTik配置DoH,告别DNS劫持
在日常上网中,如果用户输入无法解析的网址(例如,由于输入错误),则某些 Internet 提供商(ISP)会故意使用 DNS 劫持技术来提供错误消息。一旦 ISP 拦截了此内容,就会将用户定向到自己的网站,在该网站宣传自己或第三方的产品。虽然这并不违法,也不会直接损害用户,但是该类重定向仍会让用户反感。因此,单独使用 DNS 协议并不是非常可靠的。
而 DoH (DNS over HTTPS)即使用安全的 HTTPS 协议运行 DNS ,主要目的是增强用户的安全性和隐私性。通过使用加密的 HTTPS 连接,第三方将不再影响或监视解析过程。因此,欺诈者将无法查看请求的 URL 并对其进行更改。如果使用了基于 HTTPS 的 DNS ,数据在传输过程中发生丢失时,DoH 中的传输控制协议(TCP)会做出更快的反应
下面就在MikroTik V6版本上配置DoH以阿里为例:
1.下载证书
打开火狐浏览器输入:https://dns.alidns.com/dns-query
提供证书下载链接:下载 密码:4b89
2.上传证书
3.添加证书
4.命令添加静态DNS与nat
/ip dns static add name=dns.alidns.com type=A address=223.5.5.5 add name=dns.alidns.com type=A address=223.6.6.6 add name=dns.alidns.com type=AAAA address=2400:3200::1 add name=dns.alidns.com type=AAAA address=2400:3200:baba::1
/ip dns set verify-doh-cert=yes use-doh-server="https://dns.alidns.com/dns-query"
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 action=redirect comment="DNS TCP_UDP" place-before=1 add chain=dstnat protocol=udp dst-port=53 action=redirect place-before=2
5.检查配置
防火墙
dns
修改路由器时间
system ntp client set enabled=yes servers="ntp.aliyun.com" system clock set time-zone-name="Asia/Shanghai"
6.下面提供几个DoH地址
腾讯 DNS (DNSPod)
由 DNSPod 提供的公共免费 DNS,后来 DNSPod 被腾讯(Tencent)收购,现在属于腾讯公司所有,稳定性和连通性也是不错的,经测试海外也可以使用
DNSPod 除了 IPv4,现在同时支持 IPv6 DNS 和 DoT/DoH 服务
# IPv4: 119.29.29.29,120.53.53.53,1.12.12.12 # IPv6: 2402:4e00:: # DoH 地址: https://doh.pub/dns-query # DoH 地址 (基于腾讯云政企国密 SM2 解决方案): https://sm2.doh.pub/dns-query # DoT 地址: dot.pub
阿里 DNS (Alidns)
这组 DNS 是由阿里巴巴提供的,国内连通性还是不错的,海外部分地区连通性不是特别好,具体可以测试一下
阿里 DNS 同时提供了 IPv4/IPv6 DNS 和 DoT/DoH 服务
# IPv4: 223.5.5.5,223.6.6.6 # IPv6: 2400:3200::1,2400:3200:baba::1 # DoH 地址: https://dns.alidns.com/dns-query # DoT 地址: dns.alidns.com
360安全 DNS
360 提供的 DNS 服务,只提供了 IPv4 和 DoT/DoH 服务
# IPv4 (针对电信/铁通/移动): 101.226.4.6,218.30.118.6 # IPv4 (针对联通): 123.125.81.6,140.207.198.6 # DoH 地址: https://doh.360.cn # DoT 地址: dot.360.cn
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?