DoH на роутере OpenWRT, Mikrotik и Asus: пошаговая инструкция от того, кто сам хостит резолвер
cyberscoper 1 час назад DoH на роутере OpenWRT, Mikrotik и Asus: пошаговая инструкция от того, кто сам хостит резолвер Средний 7 мин 471 Сетевое оборудование Сетевые технологии * DNS * Информационная безопасность *...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. cyberscoper 1 час назад DoH на роутере OpenWRT, Mikrotik и Asus: пошаговая инструкция от того, кто сам хостит резолвер Средний 7 мин 471 Сетевое оборудование Сетевые технологии * DNS * Информационная безопасность * Туториал Привет, Хабр! Если коротко, DNS это последний открытый протокол в вашей сети, по которому провайдер (и любой джентльмен в кафе на open WiFi) видит, куда вы ходите. HTTPS закрыли, SNI потихоньку прячут через ECH, а DNS как был в плейне на 53-м порту, так в большинстве домашних сетей и остался.
DoH (DNS over HTTPS) это лечит, но не на устройстве, а на роутере, чтобы один раз настроил и забыл про все смартфоны, тостеры и умные лампочки. Я три месяца пилю свой DNS-резолвер с фильтрацией и за это время насмотрелся на чужие конфиги достаточно, чтобы написать инструкцию без воды. Разберу OpenWRT, Mikrotik (RouterOS 7+) и Asus с Merlin, плюс подводные камни, в которые я лично наступил.
Технические детали
В конце ссылки на бесплатный эндпойнт без регистрации, если хочется потыкать. Зачем DoH вообще на роутере, а не на устройствеМожно поставить DoH-клиент на ноут и считать, что готово. Я так и делал года полтора, пока не задумался про остальное барахло в сети.
Телевизор LG ходит куда-то в Корею двести раз в день, плейстейшн резолвит телеметрию, робот-пылесос подключается к китайскому MQTT-брокеру и о чём-то с ним беседует. Ни на одном из этих устройств вы DoH не настроите штатно. Роутер это единственная точка, где вся сеть выходит наружу.
Настраиваешь DoH там, и:Провайдер больше не видит DNS-запросы. Не «не может расшифровать», а буквально не видит: наружу уходит TLS-поток на 443-й порт к резолверу. Для ISP это просто HTTPS-трафик к какому-то домену.
Отраслевые последствия
Защита от DNS-спуфинга на open WiFi и в гостиничных сетях с отравленным аплинком. Это не теория: я ловил MITM на DNS в одном азиатском отеле в 2023-м, где paypal. com резолвился во что-то очень не похожее на PayPal.
Обход блокировок DNS-резолверов уровня ISP. У кого-то RKN, у кого-то корпоративный фильтр, у кого-то отель режет 53-й порт целиком. На 443-м режут редко, потому что заодно умрёт половина интернета.
Единая фильтрация рекламы и трекеров для всех устройств без танцев с бубном на каждом из них. Pi-hole делает то же самое, но локально и без шифрования наружу. DoH на роутере закрывает оба фронта сразу.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
