MikroTik配置DoH,告别DNS劫持

   在日常上网中，如果用户输入无法解析的网址（例如，由于输入错误），则某些 Internet 提供商（ISP）会故意使用 DNS 劫持技术来提供错误消息。一旦 ISP 拦截了此内容，就会将用户定向到自己的网站，在该网站宣传自己或第三方的产品。虽然这并不违法，也不会直接损害用户，但是该类重定向仍会让用户反感。因此，单独使用 DNS 协议并不是非常可靠的。

而 DoH （DNS over HTTPS）即使用安全的 HTTPS 协议运行 DNS ，主要目的是增强用户的安全性和隐私性。通过使用加密的 HTTPS 连接，第三方将不再影响或监视解析过程。因此，欺诈者将无法查看请求的 URL 并对其进行更改。如果使用了基于 HTTPS 的 DNS ，数据在传输过程中发生丢失时，DoH 中的传输控制协议（TCP）会做出更快的反应

下面就在MikroTik V6版本上配置DoH以阿里为例：

1.下载证书

打开火狐浏览器输入：https://dns.alidns.com/dns-query

提供证书下载链接：下载  密码：4b89

2.上传证书

3.添加证书

4.命令添加静态DNS与nat

/ip dns static
add name=dns.alidns.com type=A address=223.5.5.5
add name=dns.alidns.com type=A address=223.6.6.6
add name=dns.alidns.com type=AAAA address=2400:3200::1
add name=dns.alidns.com type=AAAA address=2400:3200:baba::1

/ip dns set verify-doh-cert=yes use-doh-server="https://dns.alidns.com/dns-query"

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=53 action=redirect  comment="DNS TCP_UDP" place-before=1
add chain=dstnat protocol=udp dst-port=53 action=redirect place-before=2

5.检查配置

防火墙

dns

修改路由器时间

system ntp client set enabled=yes servers="ntp.aliyun.com"
system clock set time-zone-name="Asia/Shanghai"

6.下面提供几个DoH地址

腾讯 DNS (DNSPod)

由 DNSPod 提供的公共免费 DNS，后来 DNSPod 被腾讯(Tencent)收购，现在属于腾讯公司所有，稳定性和连通性也是不错的，经测试海外也可以使用

DNSPod 除了 IPv4，现在同时支持 IPv6 DNS 和 DoT/DoH 服务

# IPv4: 
119.29.29.29,120.53.53.53,1.12.12.12
# IPv6: 
2402:4e00::
# DoH 地址: 
https://doh.pub/dns-query
# DoH 地址 (基于腾讯云政企国密 SM2 解决方案): 
https://sm2.doh.pub/dns-query
# DoT 地址: 
dot.pub

阿里 DNS (Alidns)

这组 DNS 是由阿里巴巴提供的，国内连通性还是不错的，海外部分地区连通性不是特别好，具体可以测试一下

阿里 DNS 同时提供了 IPv4/IPv6 DNS 和 DoT/DoH 服务

# IPv4: 
223.5.5.5，223.6.6.6
# IPv6: 
2400:3200::1，2400:3200:baba::1
# DoH 地址: 
https://dns.alidns.com/dns-query
# DoT 地址: 
dns.alidns.com

360安全 DNS

360 提供的 DNS 服务，只提供了 IPv4 和 DoT/DoH 服务

# IPv4 (针对电信/铁通/移动): 
101.226.4.6，218.30.118.6
# IPv4 (针对联通): 
123.125.81.6，140.207.198.6
# DoH 地址: 
https://doh.360.cn
# DoT 地址: 
dot.360.cn