RouterOS 开始支持 DoH

2020-08-17 03:24:56 +08:00
 ZRS

建议导入 DoH 域名相关证书( RouterOS 无内置 ROOT CA ),勾选 Verify DoH Certificate 保证 TLS 完整,以 alidns 为例,导入 223.5.5.5 该 IP 的 CA 证书:

/tool fetch url="http://secure.globalsign.com/cacert/root-r3.crt"
/certificate import file-name=root-r3.crt

尽管官方手册中建议手动指定一个传统 DNS Server 用于解析 DoH 中地址的域名,但是使用诸如

https://223.5.5.5/dns-query

https://1.1.1.1/dns-query

此类直接使用 IP 的 DoH,亲测是可以正常工作的。

且暂未查到同时配置了传统 DNS 和 DoH 后 RouterOS 的行为描述,是仅用于查询 DoH 域名,还是随机 or 并发对所有服务器进行查询。若为后者,DoH 的意义就大打了折扣,建议暂时不配置传统 DNS 。

试用一段时间表示体验非常完美,很多网络的小问题都消失了。

9789 次点击
所在节点    宽带症候群
26 条回复
ZRS
2020-08-17 03:26:15 +08:00
ericbize
2020-08-17 06:32:01 +08:00
6.47 late ?
sampeng
2020-08-17 07:07:39 +08:00
但实际使用一段时间反而有奇怪问题…连 baidu.com 都解不出来…
brMu
2020-08-17 07:46:46 +08:00
为什么都是支持 DoH,不是 DoT 呢?
zro
2020-08-17 08:09:21 +08:00
终于又多了个功能。。
farmer01
2020-08-17 08:38:49 +08:00
@brMu 因为 DoT 使用的是 443 端口,更常用,兼容性更好。
ZRS
2020-08-17 09:33:20 +08:00
@ericbize 是的,6.47 加入的功能
sp670
2020-08-17 11:27:03 +08:00
建议还是输阿里的域名: https://dns.alidns.com/dns-query
然后在 ros 自带的 DNS 里给 dns.alidns.com 设置 223.5.5.5 和 223.6.6.6 两个静态的 A 记录
这样 ROS 就能使用 https://223.5.5.5/dns-query 和 https://223.6.6.6/dns-query 了
虽然说没什么卵用,但更完美心里舒服一些
shikkoku
2020-08-17 17:21:48 +08:00
@farmer01 #6 DoT 是 853
farmer01
2020-08-17 17:37:59 +08:00
@shikkoku ...打错了。。。 我说的是 DoH
40EaE5uJO3Xt1VVa
2020-08-18 00:38:23 +08:00
今天还遇到一个客户,把云服务器重装成了 Routeros,真是人才,没接触过这个,不知道他想干什么
jousca
2020-08-18 01:15:45 +08:00
@yanzhiling2001 做单臂路由转发。
mandymak
2020-08-18 10:57:00 +08:00
@yanzhiling2001 我也是啊!都这样玩了好几年了。
40EaE5uJO3Xt1VVa
2020-08-18 21:28:13 +08:00
@mandymak 把服务器装这个干啥的,有啥用
mandymak
2020-08-18 21:44:14 +08:00
@yanzhiling2001 留学或回国。
ghostheaven
2020-08-19 13:02:45 +08:00
@yanzhiling2001 我就干过,用来建隧道,或者其他 vpn 服务,阿里云上相关服务太贵了
mandymak
2020-08-19 13:08:33 +08:00
@ghostheaven 同是。
rallos8zek
2020-08-22 12:39:06 +08:00
感谢楼主,有个疑问,Verify DoH Certificate 这个选项勾不勾有啥区别呢
ZRS
2020-08-22 12:51:22 +08:00
@rallos8zek 不验证证书的话,没法保证你的请求不被中间人攻击伪造,不安全。
iovecaoshenjie
2020-11-18 23:28:26 +08:00
不设置传统 DNS,只设置 DOH 的话为什么会返回 ipv6 地址啊?但是我的 Ipv6 包被我禁用了呀

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/698795

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX