P.3, Q. Gò Vấp, HCM
Thứ hai đến thứ bảy
Cấu hình mã hóa truy vấn DNS với DoH trên RouterOS v7.
Trong RouterOS phiên bản 6.47 có một tính năng mới, rất được chờ đợi. Tính năng mới này có thể khắc phục vấn đề bạn bè hoặc ai đó “cưỡng chế” và “can thiệp” vào truy vấn dns của bạn. Tính năng mới này gọi là DNS qua HTTPS (DNS over HTTPS) hoặc thường được gọi là DoH. DoH này giải quyết các hạn chế trong giao thức DNS thông thường bằng giao thức HTTPS bảo mật và tất nhiên sử dụng cổng 443 nên rất khó bị ISP chặn.
Để tìm ra máy chủ DNS mà chúng tôi sẽ sử dụng, chúng tôi có thể sử dụng trang web dnsleaktest.com, kết quả:
Mục đích chính của việc sử dụng DoH là cung cấp sự riêng tư cho các liên kết truy cập Internet bằng cách loại bỏ tấn công theo kiểu MITM.
Ví dụ ở đây tôi đang sử dụng một đường truyền Internet của một ISP và ISP đang thực hiện chính sách “cưỡng chế” đọc các liên kết truy cập của chúng tôi và điều hướng chúng về các máy chủ DNS của ISP. Điều này gây bất tiện cho người dùng, ví dụ DNS thuộc ISP đang chặn, một trang web chẳng hạn như routertik.vn
Chúng tôi mô tả qua hai mô hình cơ bản.
Với mô hình A, các lưu lượng truy vấn kết nối với máy chủ DNS từ xa thông thường
Với mô hình B, ISP đã quản lí các lưu lượng truy cập trên máy tính của chúng tôi và khách hàng, chẳng hạn trang web https://routertik.vn bị chặn từ phía ISP.
Router ISP là bộ định tuyến của ISP.
Router Client là bộ định tuyến của chúng tôi, sẽ sử dụng DNS qua HTTPS để vượt qua cơ chế chặn.
1. Đảm bảo sử dụng bộ định tuyến phiên bản 6.47
Nếu phiên bản bộ định tuyến vẫn dưới 6.47, trước tiên có thể cập nhật thông qua Menu System → Packages → Check for updates. Kể từ ngày 3 tháng 6 năm 2020 phiên bản 6.47 đã vào nhánh stable.
2. Sau đó, chúng tôi cố gắng sử dụng DNS qua HTTPS
Để xác định các DOH Server, bạn có thể tìm thấy nó ở các trang web cung cấp DNS như cloudflare, google, quad9 hoặc các trang khác…
Để xác minh, chúng tôi cần có các chứng chỉ DOH của máy chủ.
Bạn có thể tìm chúng trên Internet.
Chẳng hạn,
/tool fetch url=”https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem”
/certificate import file-name=DigiCertGlobalRootCA.crt.pem
Chúng tôi chép từng lệnh vào dán vào cửa sổ Terminal
Tại bước nhập chứng chỉ vào Routeros, hệ thống sẽ yêu cầu một mã bảo vệ để bảo vệ an toàn những chứng chỉ này. Hãy nhập một mật khẩu bạn luôn nhớ !
Tiếp theo, chúng tôi tìm các máy chủ DOH trên Internet.
Sử dụng DoH Server: Bạn tìm thấy các địa chỉ máy chủ DOH tại các trang web của nhà cung cấp DNS như cloudflare, google, quad9 hoặc các trang khác…
Đây là một máy chủ DOH: https://cloudflare-dns.com/dns-query
Chúng tôi thêm máy chủ DOH này vào Router.
Sau đó chúng tôi kiểm tra kết quả.
3. Các vấn đề khi sử dụng DoH.
– Tôi có thể vượt qua các trang web chặn của ISP ?
Được hoặc Không.
Nếu ISP chỉ chặn tên miền thì bạn có thể truy cập; nếu ISP chặn IP máy chủ, bạn không thể truy cập.
– Tôi cấu hình DOH trên Router nghĩa là sao ?
Nghĩa là Router của bạn đã thiết lập liên kết bảo mật DNS với máy chủ DNS. Bạn cần khai báo DNS cho các thiết bị trong mạng của bạn sử dụng địa chỉ IP của Router làm máy chủ DNS mới có thể hoạt động trên DOH.
Đơn giản đúng không nào. Hãy thử kiểm tra và thử nghiệm.
Chúc các bạn thành công.
Nguồn: Routerikvn