{
    "version": "https:\/\/jsonfeed.org\/version\/1.1",
    "title": "Skurudo Blog(post): заметки с тегом DoH",
    "_rss_description": "DNS поверх HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата",
    "_rss_language": "ru",
    "_itunes_email": "",
    "_itunes_categories_xml": "",
    "_itunes_image": "",
    "_itunes_explicit": "",
    "home_page_url": "https:\/\/www.skurudo.ru\/tags\/doh\/",
    "feed_url": "https:\/\/www.skurudo.ru\/tags\/doh\/json\/",
    "icon": "https:\/\/www.skurudo.ru\/pictures\/userpic\/userpic@2x.jpg?1691593083",
    "authors": [
        {
            "name": "Pavel Galkin",
            "url": "https:\/\/www.skurudo.ru\/",
            "avatar": "https:\/\/www.skurudo.ru\/pictures\/userpic\/userpic@2x.jpg?1691593083"
        }
    ],
    "items": [
        {
            "id": "225",
            "url": "https:\/\/www.skurudo.ru\/all\/dns-over-https-on-mikrotik\/",
            "title": "Настройка DoH в Mikrotik",
            "content_html": "<p>Второго дня в версии 6.47 ветки stable завезли поддержку DoH (DNS over HTTPS). До этого оно было только в ветке с beta и использовать ее не очень хотелось в виду отсутствия стабильности. Почему это так важно? Дело в том, что DNS без каких-либо дополнений дает возможность вышестоящему провайдеру смотреть и подменять dns-запросы. Не видно причин, зачем ему давать такое делать. А также есть некая простота в том, что теперь свои dns-запросы не нужно заворачивать в тот же VPN.<\/p>\n<blockquote>\n<p>DNS поверх HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода >является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и >манипулирования данными DNS с помощью атак типа «Атака посредника».<\/p>\n<\/blockquote>\n<p>Первым делом нужно обновиться до 6.47 в ветке stable (или воспользовать beta). В случае с long-term стоит либо потерпеть и подождать или переключиться на stable.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/www.skurudo.ru\/pictures\/doh-01.png\" width=\"915\" height=\"730\" alt=\"\" \/>\n<\/div>\n<p>Далее идем в IP -> DNS. Сразу же стоит обратить внимание, что вы можете получать DNS динамически (вышестоящий провайдер или настройки APN) и надо бы убрать автоматику. Чаще всего выглядит это как-то так:<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/www.skurudo.ru\/pictures\/doh-02.png\" width=\"646\" height=\"582\" alt=\"\" \/>\n<\/div>\n<p>Теперь нужно провести небольшую артподготовку, а именно скачать и импортировать список корневых сертификатов. Делается это двумя командами:<\/p>\n<pre class=\"e2-text-code\"><code class=\"\">\/tool fetch url=https:\/\/erza.ru\/cert\/cacert.pem\r\n\/certificate import file-name=cacert.pem passphrase=&quot;&quot;<\/code><\/pre><p>Также список корневых сертификатов можно взять на сайте <a href=\"https:\/\/curl.haxx.se\/ca\/cacert.pem\">haxx.se<\/a> или же с <a href=\"https:\/\/cacerts.digicert.com\/DigiCertGlobalRootCA.crt.pem\">DigiCert<\/a><\/p>\n<p>После чего удалим лишние dns-серверы и впишем свои. В итоге у нас все выглядит вот так:<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/www.skurudo.ru\/pictures\/doh-03.png\" width=\"1634\" height=\"1161\" alt=\"\" \/>\n<\/div>\n<p>Провести проверку можно с помощью torch или в connection tracker:<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/www.skurudo.ru\/pictures\/doh-06.png\" width=\"1265\" height=\"342\" alt=\"\" \/>\n<\/div>\n<p>Список DoH серверов — <a href=\"https:\/\/github.com\/curl\/curl\/wiki\/DNS-over-HTTPS\">смотреть тут<\/a>, но самые популярные скорее всего будут Google ( <a href=\"https:\/\/8.8.8.8\/dns-query\">https:\/\/8.8.8.8\/dns-query<\/a> ) и Cloudflare (  <a href=\"https:\/\/1.1.1.1\/dns-query\">https:\/\/1.1.1.1\/dns-query<\/a> ).<\/p>\n<p>Тестируем и проверяем на сайте <a href=\"https:\/\/www.cloudflare.com\/ssl\/encrypted-sni\/\">Cloudflare<\/a><\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/www.skurudo.ru\/pictures\/doh-04.png\" width=\"1459\" height=\"780\" alt=\"\" \/>\n<\/div>\n<p>На всякий случай привожу листинг команд:<\/p>\n<pre class=\"e2-text-code\"><code class=\"\">\/tool fetch url=https:\/\/erza.ru\/cert\/cacert.pem\r\n\/certificate import file-name=cacert.pem passphrase=&quot;&quot;\r\n\/ip dns set use-doh-server=https:\/\/1.1.1.1\/dns-query\r\n\/ip dns set verify-doh-cert=yes\r\n\/ip dns set servers=&quot;&quot;<\/code><\/pre><p><b>UPDATE: <\/b> Никита Тарикин набросал еще более интересную штуку со скриптом и поворотами — <a href=\"https:\/\/telegra.ph\/MikroTik-DNS-over-HTTPS-CloudFlare-06-03\">MikroTik DNS-over-HTTPS CloudFlare<\/a> :)<\/p>\n",
            "date_published": "2020-06-03T07:59:59+03:00",
            "date_modified": "2020-06-03T09:31:41+03:00",
            "tags": [
                "Cloudflare",
                "DNS",
                "DoH",
                "Google",
                "https",
                "Mikrotik",
                "VPN"
            ],
            "image": "https:\/\/www.skurudo.ru\/pictures\/doh-05.png",
            "_date_published_rfc2822": "Wed, 03 Jun 2020 07:59:59 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "225",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "system\/library\/highlight\/highlight.js",
                    "system\/library\/highlight\/highlight.css"
                ],
                "og_images": [
                    "https:\/\/www.skurudo.ru\/pictures\/doh-05.png",
                    "https:\/\/www.skurudo.ru\/pictures\/doh-01.png",
                    "https:\/\/www.skurudo.ru\/pictures\/doh-02.png",
                    "https:\/\/www.skurudo.ru\/pictures\/doh-03.png",
                    "https:\/\/www.skurudo.ru\/pictures\/doh-06.png",
                    "https:\/\/www.skurudo.ru\/pictures\/doh-04.png"
                ]
            }
        }
    ],
    "_e2_version": 4116,
    "_e2_ua_string": "Aegea 11.2 (v4116)"
}