dns-over-https (doh) routeros 7

[hardrockbaby]

Роутер hAP ac2, на текущий момент стоит последняя стабильная ROS 7.19.3
Пробовал разные DoH-сервера и они изредка отваливаются с сообщением (1 фото)
DoH server connection error: Idle timeout - connecting

Не понимаю почему роутер в такой ситуации не использует указанные сервера 8.8.8.8 и 1.1.1.1?

Пробовал намеренно испортить адрес doh сервера (2 фото) в надежде что роутер переключится на прописанные сервера, но этого не происходит.
Может я мало ждал? Смотрел по логам: спустя 3 минуты продолжали сыпаться ошибки, роутер так и не воспользовался другими dns серверами

 ip dns print

Код: Выделить всё

                  servers: 8.8.8.8
                           1.1.1.1
          dynamic-servers:
           use-doh-server: https://router.comss.one/dns-query
          verify-doh-cert: yes
doh-max-server-connections: 5
doh-max-concurrent-queries: 50
              doh-timeout: 5s
    allow-remote-requests: yes
      max-udp-packet-size: 4096
     query-server-timeout: 2s
      query-total-timeout: 10s
   max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
               cache-size: 2048KiB
            cache-max-ttl: 1w
  address-list-extra-time: 0s
                      vrf: main
       mdns-repeat-ifaces:
               cache-used: 103KiB

 log

[seregaelcin]

Не достукивается роутер до DOH, поэтому такое сообщение - либо не резолвит DNS, потому что статикой надо задать, либо проблема в сети на участке от микротика до DOH/ Эти 8.8.8.8 и 1.1.1.1 нужны когда не используется DOH

Пример конфига
/ip dns static
add address=8.8.4.4 name=dns.google type=A
add address=8.8.8.8 name=dns.google type=A
/ip dns
use-doh-server=https://dns.google/dns-query verify-doh-cert=yes

[Gena Prulkin]

Есть мнение, что в текущей ros, данные ошибки возникают при резолве ответов от клиентов wlan, в этом можно убедиться, выключив wlan и попользоваться роутером, Интернетом.

[seregaelcin]

У меня нет проводных клиентов, все работает нормально на 7.19.3 и на более ранних прошивках.
Даже заморочился и поднял на rbm33g с лте модемом канал и сделал модему резет

2025-07-26 19:04:22 interface,info lte1 link down
2025-07-26 19:04:24 lte,info lte1: not registred, new reg: 0
2025-07-26 19:04:25 lte,info lte1: registered home
2025-07-26 19:04:26 lte,info lte1 IPv4:
2025-07-26 19:04:26 interface,info lte1 link up
2025-07-26 19:04:29 dns,error DoH server connection error: Idle timeout - connecting

dns,error DoH server connection error: Idle timeout - connecting - это проблемы с сетью от роутера до DOH либо с самим DOH. Другая ошибка - возможно кривой конфиг

[TomCat]

После включения verify-doh-cert=yes появляется вот это:

 

DoH server connection error: SSL: ssl: crl not found for: "CN=dns.google" (6)

и не работает, что делать, где его взять?

[Igor M]

Читая вашу проблему я нашел хорошее решение только так (для ROS 7.19.x)

Первый вариант
- временно сделать это: /ip dns set verify-doh-cert=no, перезагрузить, потом /ip dns set verify-doh-cert=yes again.

Второй вариант (советую сначала прочитать до конца)
- удаляем сертификаты (можно и сохранить их через экспорт)
Внимание : Следующая команда удалит ВСЕ сертификаты на вашем MikroTik. Убедитесь, что вы понимаете, что делаете!
/certificate remove [find]
- устанавливаем обратно
Я импортировал пакет корневых сертификатов Google:
/tool fetch url="https://pki.goog/roots.pem" dst-path="roots-goog.pem"
/certificate import file-name="roots-goog.pem"


Страшней начинается с версии ROS 7.20.x DNS-over-HTTPS (DoH) не работает.

[mr_plohish]

C версии ROS 7.19 от 2025-05-22 появилось встроенное хранилище корневых сертификатов
*) certificate - added built-in root certificate authorities store;

Чтобы избежать указанной ошибки SSL в первую очередь нужно активировать использование встроенных сертификатов командой:

Код: Выделить всё

/certificate/settings/set builtin-trust-anchors=trusted

(синтаксис CLI)

При этом нужно удалить ранее импортированные вручную сертификаты которые теперь есть во строенном хранилище
Теперь это так же исключает вас искать и загружать сертификаты для настройки различных серверов DoH.

[Igor M]

C версии ROS 7.19 от 2025-05-22 появилось встроенное хранилище корневых сертификатов
*) certificate - added built-in root certificate authorities store;

Чтобы избежать указанной ошибки SSL в первую очередь нужно активировать использование встроенных сертификатов командой:

Код: Выделить всё

/certificate/settings/set builtin-trust-anchors=trusted

(синтаксис CLI)

При этом нужно удалить ранее импортированные вручную сертификаты которые теперь есть во строенном хранилище
Теперь это так же исключает вас искать и загружать сертификаты для настройки различных серверов DoH.

Спасибо не видел этот еще вариант.
А вот с версии 7.2х.х что делать? Пока не могу найти ответа(

[karton]

Спасибо не видел этот еще вариант.
А вот с версии 7.2х.х что делать? Пока не могу найти ответа(

В 7.20.7 в System - Certificates - Settings есть прям кнопка Built in Trust Anchors