⚠ Това ръководство е предназначено за системни администратори. Ще активираме локален DNS кеш, ще пренасочим заявките към публични DNS сървъри (Cloudflare/Google), по желание ще включим DNS-over-HTTPS (DoH), и ще наложим използването на DNS през рутера, като блокираме директен достъп до порт 53 от клиентите.

Локалният MikroTik DNS кеш намалява латентността и ускорява заявките. Правилната DNS пренасочваща конфигурация с DoH подобрява стабилността, поверителността и контрола. С подходящи firewall правила всички клиенти използват рутера като DNS сървър.

1) Как работи DNS пренасочването

MikroTik може да кешира и пренасочва DNS заявки към един или повече външни резолвери. Ползи: по-бързо разрешаване (локален кеш), централизирани политики (DoH/филтриране) и намален DNS „теч“ към интернет.

2) Базова конфигурация (/ip dns)

Активирайте локалния резолвер, задайте външни DNS сървъри и по-голям кеш:

/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1 cache-size=4096KiB max-udp-packet-size=1232

Алтернатива (Google DNS):

/ip dns
set servers=8.8.8.8,8.8.4.4

Проверка на текущите настройки и кеша:

/ip dns print detail
/ip dns cache print count-only
/ip dns cache print where name~"ntg.bg"

3) DNS-over-HTTPS (по желание)

DoH криптира DNS трафика между рутера и публичния резолвер, полезно за поверителност и контрол в корпоративни мрежи.

/ip dns
set use-doh-server=https://cloudflare-dns.com/dns-query verify-doh-cert=yes
# или Google DoH:
/ip dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yes

Забележка: При използване на DoH списъкът servers= не се използва, заявките се изпращат през HTTPS към DoH сървъра. Уверете се, че часовникът (NTP) е правилен.

4) Firewall: принудително използване на локален DNS и блокиране на порт 53

Позволете DNS заявки (input) от LAN сегментите към рутера:

/ip firewall filter
add chain=input action=accept protocol=udp dst-port=53 in-interface-list=LAN comment="Позволи LAN -> Router DNS (UDP)"
add chain=input action=accept protocol=tcp dst-port=53 in-interface-list=LAN comment="Позволи LAN -> Router DNS (TCP)"

Блокирайте изходящ DNS от клиентите към интернет (освен рутера):

/ip firewall filter
add chain=forward action=drop protocol=udp dst-port=53 out-interface-list=WAN src-address-list=!RouterIPs comment="Блокирай директен UDP/53 от LAN"
add chain=forward action=drop protocol=tcp dst-port=53 out-interface-list=WAN src-address-list=!RouterIPs comment="Блокирай директен TCP/53 от LAN"

Създайте RouterIPs address-list с адресите на рутера (loopback/интерфейси), за да не блокирате неговия собствен DNS трафик.

/ip firewall address-list
add list=RouterIPs address=192.168.1.1
# добавете и други при нужда

5) Тестове и диагностика

Проверка на резолюция и кеш:

/resolve ntg.bg
/ip dns cache print where name~"ntg.bg"

Проверка на DoH (HTTPS достъп):

/tool fetch url="https://cloudflare-dns.com/dns-query" http-method=get keep-result=no
# Очаквайте HTTP 200/OK (няма нужда да четете съдържанието)

Временен лог на DNS заявките (debug):

/system logging add topics=dns action=memory
/log print where topics~"dns"
/system logging remove [find where topics="dns"]

6) Често задавани въпроси

• Forwarding или recursion? За повечето офиси, forwarding към публични резолвери с локален кеш.
• Да оставя ли DNS на доставчика? Може като резервен вариант, но препоръчваме стабилни публични резолвери.
• По-бавен ли е DoH? Разликата е минимална, а печелите сигурност и контрол.
• Защо блокираме порт 53? За да насочим целия DNS трафик през рутера и неговите политики, предотвратявайки заобикаляне.

Съвет: документирайте DNS политиката (forwarders/DoH, TTL, логове) и проверявайте резултатите след всяка промяна.