DNS Over HTTPS (DOH) Mikrotik

M Alhuda
M Alhuda

Apa Itu DNS Over HTTPS ( DOH )?

DNS over HTTPS merupakan sebuah protokol untuk melakukan resolusi Sistem Penamaan Domain dengan menggunakan protokol HTTPS. Tujuan penggunaan metode ini adalah untuk melindungi privasi dan keamanan pengguna dengan mencegah serangan Man-in-the-middle.

Di Mikrotik RouterOS versi 6.47 ini ada fitur baru yang sangat ditunggu tunggu. Fitur baru ini bisa mengatasi permasalahan teman teman terhadap pemaksaan dns server oleh isp. Fitur baru ini adalah DNS over HTTPS atau biasa disebut dengan DoH. DoH ini me resolve DNS menggunakan protokol HTTPS dan tentunya menggunakan port 443 sehingga sangat kecil kemungkinan untuk diblokir oleh ISP.

Untuk mengetahui DNS yang sedang kita gunakan bisa menggunakan website dnsleaktest.com

Tujuan utama dari penggunaan DoH ini adalah untuk memberikan privasi dengan menghilangkan MITM. Sebagai contoh disini saya menggunakan ISP dan ISP tersebut menerapkan kebijakan pemaksaan dns menggunakan dns milik ISP tersebut. sehingga ketika client mengganti dns mereka tetap saja client tersebut menggunakan dns yang diberikan oleh isp. Hal ini membuat tidak nyaman bagi pengguna, misalkan dns milik ISP tersebut memblokir suatu website contohnya malhuda.com


Contoh topologi yang mungkin Anda digunakan adalah seperti berikut:


Roter ISP adalah router yang memaksa client dibawahnya untuk menggunakan DNS milik ISP tersebut. Router client adalah router yang akan menggunakan DNS over HTTPS.

Pastikan menggunakan routeros versi 6.47
Jika versi routeros masih dibawah 6.47 maka bisa di update terlebih dahulu melalui system → package → check for update. Per tanggal 3 Juni 2020 versi 6.47 sudah masuk kanal stabil.


Percobaan mengganti DNS
Misalkan saat ini saya menggunakan DNS bawaan ISP, kemudian saya mengganti DNS ke DNS cloudflare / 1.1.1.1
Menu ada di IP → DNS.


Ketika saya coba kembali, situs malhuda.com masih terblokir. Dan ketika melakukan cek DNS menggunakan dnsleaktest.com masih menggunakan server yang sama. Ini menandakan bahwa DNS yang digunakan masih mengikuti DNS ISP.

Kemudian kita mencoba untuk menggunakan DNS over HTTPS
Dengan konfigurasi seperti berikut:

Use DoH Server: Server DoH. Bisa Anda dapatkan di situs penyedia DNS seperti cloudflare, google, quad9, atau yang lain

*)Opsional:
Untuk resolve domain dari DoH Anda bisa menggunakan server DNS biasa atau menambahkan IP dari DoH ke DNS Static
Untuk Verify DoH Certificate, Anda perlu menggunakan certificate, Anda bisa mencarinya di internet.
Contoh sertifikat yang bisa digunakan:

https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
https://curl.haxx.se/ca/cacert.pem

Command Import Sertifikat

/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""



Setelah menerapkan DoH, situs malhuda.com yang tadinya di blokir oleh DNS milik ISP bisa dibuka dan ketika melakukan dns leak test sudah menggunakan server DoH yang kita gunakan.


Berikut perbedaan cloudflare esni test ketika menggunakan DoH dari cloudflare:

Sebelum menggunakan DoH


Setelah menggunakan DoH


Beberapa server DoH yang pernah saya test adalah:

Cloudflare
https://dns.cloudflare.com/dns-query


Adguard
https://dns.adguard.com/dns-query



Clean Browsing
https://doh.cleanbrowsing.org/doh/family-filter/


Google
https://dns.google/dns-query


Quad9
https://dns9.quad9.net/dns-query

DNS RHZAHRA.NET ( Server Jakarta, ID ) & RHZAHRA.COM ( Server Tokyo, JP )
https://dns.rhzahra.net/dns-query
https://dns.rhzahra.com/dns-query


DNS UNILAK ( Universitas Lancang Kuning )

https://dns.unilak.ac.id/dns-query

*)Catatan:

Tidak menutup kemungkinan walaupun DoH ini sudah menggunakan protokol HTTPS dan port 443 tetap bisa diblokir oleh ISP. Bisa saja ISP tersebut memblokir Domain atau IP dari DoH tersebut.

*)Penting!
Setelah melakukan perubahan pada konfigurasi DNS, sebelum melakukan test diwajibkan untuk menghapus cache dns terlebih dahulu baik di router maupun di perangkat end device seperti laptop.

Sumber : Mikrotik Indonesia

Internet Protocoldnsdohmikrotik

M Alhuda

Seorang Maniak IT dan Founder dari Detroit Network