Fitur baru DNS over HTTPS (DoH) di Mikrotik 6.47

Di bulan juni lalu mikrotik merilis RouterOS versi 6.47. Di versi stable ini terdapat fitur baru yaitu DNS over HTTPS atau biasa disebut dengan DoH. Nah ini fitur banyak ditunggu2 untuk bisa digunakan di Mikrotik stable.

mikrotik-6.47

Intro

Bukan sebuah rahasia klo ISP bisa (dan kebanyakan ISP besar melakukannya karena kebijakan dari pemerintah terkait kebijakan trust positif (DNS filtering)) melakukan reroute setiap traffic port 53 ke DNS milik mereka meskipun kita sudah set custom DNS server di router / PC kita.

Nah dengan DoH, proses resolve DNS akan menggunakan port 443 (HTTPS) yg pastinya ISP bakal mikir ribuan kali buat blokir / intercept / reroute HTTPS request. (ada kemungkinan, tapi ini kebangetan, baca sesi Notes dibawah) :ngakak: :cambuk:

Apa itu DNS over HTTPS?

Sebenarnya proses DNS over HTTPS hampir sama dengan DNS biasa. Yang membedakan adalah kalau query DNS biasa menggunakan plain text, di DoH query DNS mengunakan HTTPS yang isinya dienkripsi dan dikirimkan ke DoH server yang compatible. Dengan cara ini, 3rd party seperti ISP akan kesulitan melakukan sniffing / monitoring DNS query yang dilakukan penggunanya.

DoH juga meminimalisir terjadinya MiTM attack yang dari bawaan DNS biasa melakukan DNS spoffing, Hijacking atau Poisoning.

Setting Mikrotik untuk DoH

Sebelum memulai dan melakukan setting, kita cek dulu DNS yang kita pake (dari ISP) lewat dnsleaktest.com buat nanti dibandingkan setelah kita selesai setting.


Nah itu keliatan gue pake DNS asli ISP yang gue pake: netbiz.

Di artikel ini gue mau pake Google Public DNS, (list Public DNS server lain yang support DoH nanti ada di bawah).

Sekarang saatnya setting Mikrotik, pertama pastiin klo RouterOS nya minimal versi 6.47, klo belum, update dulu.

  1. Login ke Mikrotik, masuk ke IP -> DNS
  2. Ubah / masukan IP DNS server menjadi IP Google Public DNS: 8.8.8.8 dan 8.8.4.4
  3. Pada field “Use DoH Server” masukkan https://dns.google/dns-query
  4. Centang checkboxVerify DoH Certificate”.
  5. Tambahkan static DNS A record untuk dns.google ke 8.8.8.8 dan 8.8.4.4 supaya kita bisa resolve DoH server yang kita masukan diatas.
  6. Karena “Verify DoH Certificate” dicentang, kita perlu install certificate. Caranya lihat dibawah bagian Import Certificate di mikrotik.
  7. Selesai.

Untuk yang suka pake CLI:

[ditatompel@Router] > /ip dns set servers=8.8.8.8,8.8.4.4
[ditatompel@Router] > /ip dns static add address=8.8.8.8 name=dns.google
[ditatompel@Router] > /ip dns static add address=8.8.4.4 name=dns.google
[ditatompel@Router] > /ip dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yes

Import Certificate di Mikrotik

Command dibawah buat download dan install certificate punyanya curl lewat terminal:

[ditatompel@Router] > /tool fetch url=https://curl.haxx.se/ca/cacert.pem
[ditatompel@Router] > /certificate import file-name=cacert.pem passphrase=""

URL alternatif untuk fetch certificate yang lain:

https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem

Verifikasi Konfigurasi Sudah berjalan

Setelah selesai konfig mikrotik, coba cek lagi DNS kita lewat dnsleaktest.com. Pastikan ISP yang keluar sesuai dengan pemilik DoH server. (di artikel ini: Google)

Cek juga browsing ke situs yang biasa diblokir, misal: reddit.com <- ini situs bagus banget sebenernya, cm gara2 ada content nsfw kena begal juga :lempar:

Troubleshoot

Pastikan Dynamic Servers di IP > DNS tidak ada ya, kalau ada, coba ilangin dynamic DNS servernya. Cara ilanginnya tergantung konfig mikrotiknya.

Misal untuk yang pake DHCP Client di interface WAN : IP > DHCP Client > Uncheck “Use Peer DNS

Kalau pake PPPoE Client: PPP > PPPoE Client > Dial Out Tab > Uncheck “Use Peer DNS
pppoe-uncheck-peer-dns

Cek juga di DNS di IP > DHCP Server -> Networks Tab > DNS Server tidak di set ke DNS lain atau biarin aja kosong.

List Public DoH Server

Beberapa DoH server yang support:
Adguard:

https://dns.adguard.com/dns-query

Clean Browsing:

https://doh.cleanbrowsing.org/doh/family-filter/

Cloudflare:

https://dns.cloudflare.com/dns-query

Google:

https://dns.google/dns-query

Quad9:

https://dns9.quad9.net/dns-query

Notes

Kemungkinan ISP masih bisa memblokir IP:PORT 443 / Domain DoH diatas, jadi kalau ada ISP yang sampe segitunya, share yuk disini, telanjangin bareng2. :rage:

Posting ini adalah wiki, silahkan edit dan koreksi langsung.

Credit dan Referensi


http://www.ckollars.org/dns-intercepting.html

https://forum.mikrotik.com/viewtopic.php?f=2&t=160243
https://mikrotik.id/artikel_lihat.php?id=390
3 Likes


Udah gue coba, pake tor + DoH, masuknya google belanda. :yes:

Wah ini sama kali ya konsepnya ktk yg gw pake ini… kyk redirect port 53 ke 443…

Wah om tabung lama ga muncul. :temenan:

klo mau lebih bagus pakai NextDNS

  • bisa block iklan tracker
  • hemat bandwith

mantap nambah ilmu lagi :semangat

netflix dah kebuka baru DoH mikrotik muncul, jgn2 ini konspirasi tel…

bingung sekarang buat buka apa pake Doh kwkwkwkw