V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ZRS
V2EX  ›  宽带症候群

RouterOS 开始支持 DoH

  •  
  •   ZRS · 2020-08-17 03:24:56 +08:00 · 9317 次点击
    这是一个创建于 1319 天前的主题,其中的信息可能已经有所发展或是发生改变。

    建议导入 DoH 域名相关证书( RouterOS 无内置 ROOT CA ),勾选 Verify DoH Certificate 保证 TLS 完整,以 alidns 为例,导入 223.5.5.5 该 IP 的 CA 证书:

    /tool fetch url="http://secure.globalsign.com/cacert/root-r3.crt"
    /certificate import file-name=root-r3.crt
    

    尽管官方手册中建议手动指定一个传统 DNS Server 用于解析 DoH 中地址的域名,但是使用诸如

    https://223.5.5.5/dns-query

    https://1.1.1.1/dns-query

    此类直接使用 IP 的 DoH,亲测是可以正常工作的。

    且暂未查到同时配置了传统 DNS 和 DoH 后 RouterOS 的行为描述,是仅用于查询 DoH 域名,还是随机 or 并发对所有服务器进行查询。若为后者,DoH 的意义就大打了折扣,建议暂时不配置传统 DNS 。

    试用一段时间表示体验非常完美,很多网络的小问题都消失了。

    23 条回复    2021-11-13 08:20:37 +08:00
    ZRS
        1
    ZRS  
    OP
       2020-08-17 03:26:15 +08:00   ❤️ 1
    ericbize
        2
    ericbize  
       2020-08-17 06:32:01 +08:00 via iPhone
    6.47 late ?
    sampeng
        3
    sampeng  
       2020-08-17 07:07:39 +08:00 via iPhone
    但实际使用一段时间反而有奇怪问题…连 baidu.com 都解不出来…
    brMu
        4
    brMu  
       2020-08-17 07:46:46 +08:00 via Android
    为什么都是支持 DoH,不是 DoT 呢?
    zro
        5
    zro  
       2020-08-17 08:09:21 +08:00
    终于又多了个功能。。
    farmer01
        6
    farmer01  
       2020-08-17 08:38:49 +08:00
    @brMu 因为 DoT 使用的是 443 端口,更常用,兼容性更好。
    ZRS
        7
    ZRS  
    OP
       2020-08-17 09:33:20 +08:00 via iPhone
    @ericbize 是的,6.47 加入的功能
    sp670
        8
    sp670  
       2020-08-17 11:27:03 +08:00   ❤️ 1
    建议还是输阿里的域名: https://dns.alidns.com/dns-query
    然后在 ros 自带的 DNS 里给 dns.alidns.com 设置 223.5.5.5 和 223.6.6.6 两个静态的 A 记录
    这样 ROS 就能使用 https://223.5.5.5/dns-query 和 https://223.6.6.6/dns-query 了
    虽然说没什么卵用,但更完美心里舒服一些
    shikkoku
        9
    shikkoku  
       2020-08-17 17:21:48 +08:00
    @farmer01 #6 DoT 是 853
    farmer01
        10
    farmer01  
       2020-08-17 17:37:59 +08:00
    @shikkoku ...打错了。。。 我说的是 DoH
    yanzhiling2001
        11
    yanzhiling2001  
       2020-08-18 00:38:23 +08:00
    今天还遇到一个客户,把云服务器重装成了 Routeros,真是人才,没接触过这个,不知道他想干什么
    jousca
        12
    jousca  
       2020-08-18 01:15:45 +08:00
    @yanzhiling2001 做单臂路由转发。
    mandymak
        13
    mandymak  
       2020-08-18 10:57:00 +08:00
    @yanzhiling2001 我也是啊!都这样玩了好几年了。
    yanzhiling2001
        14
    yanzhiling2001  
       2020-08-18 21:28:13 +08:00
    @mandymak 把服务器装这个干啥的,有啥用
    mandymak
        15
    mandymak  
       2020-08-18 21:44:14 +08:00
    @yanzhiling2001 留学或回国。
    ghostheaven
        16
    ghostheaven  
       2020-08-19 13:02:45 +08:00 via Android
    @yanzhiling2001 我就干过,用来建隧道,或者其他 vpn 服务,阿里云上相关服务太贵了
    mandymak
        17
    mandymak  
       2020-08-19 13:08:33 +08:00
    @ghostheaven 同是。
    rallos8zek
        18
    rallos8zek  
       2020-08-22 12:39:06 +08:00
    感谢楼主,有个疑问,Verify DoH Certificate 这个选项勾不勾有啥区别呢
    ZRS
        19
    ZRS  
    OP
       2020-08-22 12:51:22 +08:00
    @rallos8zek 不验证证书的话,没法保证你的请求不被中间人攻击伪造,不安全。
    iovecaoshenjie
        20
    iovecaoshenjie  
       2020-11-18 23:28:26 +08:00
    不设置传统 DNS,只设置 DOH 的话为什么会返回 ipv6 地址啊?但是我的 Ipv6 包被我禁用了呀
    shikkoku
        21
    shikkoku  
       2021-01-13 21:29:50 +08:00
    把 DoH 设置成 IP 的话可能 log 里会有一堆

    DoH server connection error: Idle timeout - waiting data

    这样的错误。感觉还是#8 的 sp670 提供的方法比较稳妥。
    qq8813084
        22
    qq8813084  
       2021-09-04 23:28:26 +08:00
    谢谢!按照楼主的方法,阿里 dns doh 证书成功 fetch 。再请教,dnspod 的专属 doh 证书如何 fetch 呢?谢谢!
    rallos8zek
        23
    rallos8zek  
       2021-11-13 08:20:37 +08:00
    用了一年多了,大家觉得阿里 doh 和 dnspod 的 doh 哪个稳定又快速啊
    https://dns.alidns.com/dns-query
    https://doh.pub/dns-query
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3241 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:14 · PVG 20:14 · LAX 05:14 · JFK 08:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.