Privatnost na Internetu je sve više traženija roba u ovo doba u kojem živimo. Kad smo na Internetu trebali bi se osjećati ugodno i sigurno, bez straha da će nas netko ili nešto napasti, optužiti za nešto i slično. Ovdje čak nije riječ o nekim kriminalnim radnjama, već na primjer što ako naš pružatelj Internet usluga odluči da neke stranice ne smijemo gledati? Ili što ako netko odluči cenzurirati dio Interneta? Kao borba protiv toga i dodatni sloj zaštite na Internetu pomoći će nam DNS-over-HTTPS.
Za one koji su novi u svijetu IT-a, kratko ćemo ponoviti što je DNS (Domain Name System), kako bi razumjeli zašto želimo konfigurirati DNS-over-HTTPS (DoH).
Strojevi (serveri) rade s brojevima – IP adresama.
Mi ljudi lakše pamtimo slova, riječi, rečenice – web adrese.
Kako bi spojili ta dva svijeta, napravljen je “DNS servis” koji povezuje tekstualnu web adresu i odgovarajuću IP adresu servera na kojem se tražena web stranica nalazi.
Drugim riječima, svaki put kad u svoj pretraživač unesete neku adresu (npr. hrvojematesic.com 😊 ), DNS servis je taj koji će raditi upite prema svim serverima da sazna gdje se ta web stranica nalazi i da vas odmah uputi tamo.
Zvuči jako dobro, zar ne?
No evo gdje je problem kod toga po pitanju sigurnosti – svi upiti koje DNS radi prikazuju se kao obični tekst. To znači da svi koji imaju pristup takvim serverima mogu točno vidjeti sve stranice koje posjećujete, koje sve Internet servise koristite.
Ako želimo povećati paniku, recimo da neka zloćudna osoba uhvati koju stranicu posjećujete. Može vrlo lako napraviti lažnu stranicu koja izgleda isto kao ta prava koju posjećujete, podmetne lažnu web adresu i vi ne sluteći ništa dođete na tu lažnu adresu gdje unosite svoje korisničko ime i lozinku ili podatke od platne kartice.
Nije baš zabavno.
DoH nam ovdje pomaže tako što kriptira sav DNS promet koji se odvija između nas i servera koristeći HTTPS protokol. Na ovaj način više nitko ne može vidjeti koje sve stranice gledamo jer je sav DNS promet kriptiran. A kako je sav DNS promet kriptiran i nitko ne može vidjeti stranice koje gledamo, time ujedno ne mogu ni zabraniti (cenzurirati) korištenje Interneta.
Imajte na umu da kad kažem „nitko“, to nije baš 100% točno. Jer se informacije mogu vidjeti na samim DNS serverima koji rade dekripciju takvog prometa. No sav ostali promet koji se odvija između nas kao korisnika i DNS servera korištenjem DoH je kriptiran i nitko između te dvije točke zaista ne može vidjeti što se događa, kao što to može kad se koristi obični DNS bez enkripcije.
Ima dosta dobrih članaka na temu DNS-over-HTTPS poput DNS Over HTTPS: Facts You Should Know – Security Boulevard i DNS over HTTPS – IONOS za one koji žele znati više, stoga nećemo ulaziti duboko u teoriju, nego idemo vidjeti kako to konfigurirati.
Konfigurirati ćemo sve na routeru, tako da sva mreža automatski bude pokrivena za sve klijente koji se nalaze unutar naše mreže.
Mikrotik DNS-over-HTTPS konfiguracija
Oprema korištena u ovom članku:
- Router: RB4011iGS+5HacQ2HnD
- RouterOS: 7.8
| Ažurirano 26.08.2025. Od RouterOS verzije 7.19 više nije potrebno raditi ubacivanje certifikata. RouterOS 7.19 i noviji imaju opciju u sebi da koriste interne certifikate. Potrebno je samo uključiti tu opciju pod System > Certificates. Zatim na Settings i staviti kvačicu na Trust Built In Anchors. Ostale opcije nemojte uključivati. Stoga se koraci 1. i 2. u ovom članku mogu preskočiti, te nastaviti na koraku 3. |
1. U uvodu smo rekli da se DNS promet kriptira korištenjem HTTPS protokola. Zato nam u tu svrhu treba neki certifikat kojim će se to sve kriptirati.
U Winbox kliknuti na New Terminal da se otvori konzola.
U konzoli unijeti naredbe za dohvaćanje certifikata:
/tool fetch url="https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem"
/tool fetch https://pki.goog/roots.pem
Ovo će preuzeti dva certifikata na Mikrotik koji se fizički nalaze pod Files (lijevo u izborniku u Winboxu).
2. Preuzete certifikate treba ubaciti u Mikrotik da ih router može koristiti.
- Otići na System > Certificates.
- Odabrati Import.
- Za Name ne treba ništa navesti.
Za File Name s popisa odabrati preuzete certifikate.
Passphrase isto ostaviti prazno.
Kad budete ubacivali certifikat od Google, on će ubaciti hrpu toga, stoga se nemojte preplašiti da ste nešto krivo napravili.
3. Slijedi konfiguracija samog DNS-a.
- Otići na IP > DNS
- Pod Servers obrisati sve unose koji se tu nalaze
Pod Use DoH Server navesti adresu koja će se koristiti za rješavanje DNS kriptiranih upita.
Osobno koristim Cloudflare servis za ovo jer sam kroz testiranja došao do toga da mi radi brže nego na primjer Google DNS servisi.
Cloudflare DoH adrese
https://cloudflare-dns.com/dns-query
https://security.cloudflare-dns.com/dns-query – blokira malware
https://family.cloudflare-dns.com/dns-query – blokira malware i sadržaj za odrasle
Možete navesti jednu od ovih, ovisno koliki nivo zaštite želite imati.
Na primjer, zadnja adresa na popisu će automatski blokirati stranice sa sadržajem za odrasle, kao i stranice na kojima se može preuzeti zloćudni sadržaj.
Ako vam ne odgovara Cloudflare, na ovom linku možete pronaći druge pružatelje DoH servera. - Staviti kvačicu na Verify DoH Certificate.
- Staviti kvačicu na Allow Remote Requests.
Ova opcija omogućava svim klijentima (uređajima) da DNS upite šalju Mikrotik routeru. - Još moramo dodati dva statička DNS zapisa, jer moramo nekako doći do adrese https://cloudflare-dns.com/dns-query koju koristimo za DoH.
I dalje smo u prozoru IP > DNS.
Kliknuti desno na Static.
Unijeti dva DNS zapisa:
cloudflare-dns.com 104.16.249.249
cloudflare-dns.com 104.16.248.249
Napomena: ako ćete koristiti nekog drugog DoH pružatelja, trebate navesti statičke zapise za tog pružatelja.
Za one koji vole raditi kroz konzolu, ovo su naredbe za sve navedeno pod korakom 3:
/ip dns
set allow-remote-requests=yes use-doh-server=https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static
add address=104.16.249.249 name=cloudflare-dns.com
add address=104.16.248.249 name=cloudflare-dns.com4. Trebamo još konfigurirati Firewall, na način da router prima sve DNS upite od uređaja na mreži.
Također trebamo voditi računa da želimo da Mikrotik obrađuje DNS upite samo iz naše lokalne mreže, ali ne i s cijelog Interneta.
Zato u Firewall pravilu trebamo definirati samo lokalnu mrežu. U ovakvim slučajevima si ja napravim Interface list koji sadrži sve lokalne interface, a interface prema Internetu nije na tome.
Naredba:
/ip firewall filter
add action=accept chain=input comment="DoH" dst-port=53 in-interface-list="All but WAN" protocol=udpNavedenim pravilom sprječavamo da Internet ne traži naš Mikrotik za DNS upite, već je to dostupno samo za klijente unutar naše lokalne mreže.
Ovime smo završili konfiguraciju za DNS-over-HTTPS.
Da li sve radi kako treba možete provjeriti odlaskom na https://1.1.1.1/help
Ako je sve dobro napravljeno, pod Using DNS over HTTPS (DoH) treba pisati Yes.
Druga adresa za provjeru: Cloudflare Browser Check | Cloudflare
Ovo je bio opis kako složiti DoH na Mikrotik routeru. Na drugim routerima je dosta slično, a opcije ovise o modelu samog routera.
Nemam jaki router / ne znam ovo podešavati
Ako nemate neki napredniji router na raspolaganju ili potrebnih tehničkih znanja da sami konfigurirate router, nema straha jer i dalje možete koristiti prednosti DNS-over-HTTPS.
Naime, moderni pretraživači imaju takvu opciju ugrađenu i dovoljno je tu opciju samo uključiti.
Ta opcija se nalazi na drugačijem mjestu ovisno o pretraživaču, no obično bude pod Security ili Network. Upute za postavljanje DNS-over-HTTPS prema pretraživaču.
Ovako to izgleda u Edge browseru
Na ovaj način ćete imati DNS-over-HTTPS zaštitu, ali imajte na umu da će to biti samo za taj pretraživač u kojem je uključena opcija. Ostatak mreže neće biti zaštićen.
