Meriv Çawa DNS-ya Xwe Bêyî Destdana Routerê Xwe Bi DoH-ê Şîfre Dike: Rêbernameyek Tevahî

Nûvekirina Dawîn: 16/10/2025
author: Christian garcia

  • DoH pirsên DNS-ê bi karanîna HTTPS-ê (port 443) şîfre dike, nepenîtiyê baştir dike û pêşî li destwerdanê digire.
  • Ew dikare di gerok û pergalan de (tevî Windows Server 2022) bêyî ku bi routerê ve girêdayî be were çalak kirin.
  • Performansa dişibihe DNS-a klasîk; ji hêla DNSSEC ve tê temam kirin da ku bersivan piştrast bike.
  • Serverên DoH yên populer (Cloudflare, Google, Quad9) û şiyana zêdekirin an sazkirina çareserkera xwe.

Meriv çawa DNS-ya xwe şîfre dike bêyî ku hûn routera xwe bi kar bînin bi karanîna DNS li ser HTTPS-ê

¿Meriv çawa DNS-ya xwe şîfre dike bêyî ku dest bi routera xwe bike bi karanîna DNS li ser HTTPS? Eger hûn bi fikar in ka kî dikare bibîne ku hûn bi kîjan malperan ve girêdidin, Pirsên Sîstema Navê Domainê bi DNS-ê li ser HTTPS-ê şîfre bike Ew yek ji rêbazên herî hêsan e ji bo zêdekirina nepeniya we bêyî ku hûn bi routera xwe re şer bikin. Bi DoH re, wergêrê ku domainan vediguherîne navnîşanên IP-ê, rêwîtiya zelal rawestîne û di tunelek HTTPS-ê re derbas dibe.

Di vê rêbernameyê de hûn ê bi zimanekî rasterast û bêyî jargonek zêde bibînin, DoH bi rastî çi ye, ew çawa ji vebijarkên din ên mîna DoT cuda dibe, çawa meriv wê di gerok û pergalên xebitandinê de çalak bike (di nav de Windows Server 2022), çawa piştrast bike ku ew bi rastî dixebite, serverên piştgirîkirî, û, heke hûn xwe wêrek hîs dikin, hetta çawa çareserkerê DoH-ya xwe saz bikin. Her tişt, bêyî ku dest li routerê bidin...ji bilî beşek bijarte ji bo kesên ku dixwazin wê li ser MikroTik-ê mîheng bikin.

DNS li ser HTTPS (DoH) çi ye û çima dibe ku hûn eleqedar bibin

Google-DNS

Dema ku hûn domainekê dinivîsin (mînak, Xataka.com), komputer ji çareserkerê DNS-ê dipirse ka IP-ya wê çi ye; Ev pêvajo bi gelemperî di nivîsa sade de ye. Û her kesê li ser tora we, dabînkerê înternetê, an cîhazên navbeynkar dikare wê bişopîne an jî manîpule bike. Ev bingeha DNS-ya klasîk e: bilez, li her derê… û ji bo aliyên sêyemîn zelal.

Li vir e ku DoH tê de cih digire: Ew pirs û bersivên DNS-ê vediguhezîne heman kanala şîfrekirî ya ku ji hêla tora ewle ve tê bikar anîn (HTTPS, porta 443)Encam ev e ku ew êdî "di vekirî de" naçin, ku îhtîmala sîxurî, revandina lêpirsînê, û hin êrîşên mirov-di-navendî de kêm dike. Wekî din, di gelek ceribandinan de latency bi awayekî berbiçav xirabtir nabe û heta dikare bi saya çêtirkirinên veguhastinê jî were baştirkirin.

Awantajeke sereke ew e ku DoH dikare di asta serîlêdanê an pergalê de were çalak kirin, ji ber vê yekê hûn neçar nînin ku ji bo çalakkirina tiştekî xwe bispêrin operator an routerê xwe. Ango, hûn dikarin xwe "ji gerokê derve" biparêzin, bêyî ku dest bidin ti alavên torê.

Girîng e ku DoH ji DoT (DNS li ser TLS) were cudakirin: DoT DNS li ser porta 853 şîfre dike rasterast li ser TLS-ê, di heman demê de DoH wê bi HTTP(S)-ê ve entegre dike. DoT di teorîyê de hêsantir e, lê Ew bêtir îhtîmal e ku ji hêla dîwarên agir ve were asteng kirin ku portên neasayî qut dikin; DoH, bi karanîna 443, van sînorkirinan çêtir derbas dike û êrîşên "vegerandinê" yên bi zorê yên li ser DNS-ên neşîfrekirî asteng dike.

Li ser nepenîtiyê: Bikaranîna HTTPS-ê di DoH-ê de nayê wê wateyê ku çerez an şopandin tê de hene; standard bi eşkere li dijî karanîna wê pêşniyar dikin Di vê çarçoveyê de, TLS 1.3 hewcedariya ji nû ve destpêkirina danişînan jî kêm dike, têkiliyan kêm dike. Û heke hûn ji performansê bi fikar in, HTTP/3 li ser QUIC dikare bi piralîkirina pirsan bêyî astengkirinê başkirinên zêdetir peyda bike.

DNS çawa dixebite, xetereyên hevpar, û DoH li ku derê cih digire

Sîstema xebitandinê bi gelemperî bi rêya DHCP-ê fêr dibe ka kîjan çareserker bikar bîne; Li malê hûn bi gelemperî ISP-yan bikar tînin., di nivîsgehê de, tora şîrketê. Dema ku ev ragihandin bê şîfrekirin be (UDP/TCP 53), her kesê li ser Wi-Fi-ya we an jî li ser rêyê dikare domainên lêpirsînkirî bibîne, bersivên sexte derzî bike, an jî we beralî lêgerînan bike dema ku domain tune be, wekî ku hin operator dikin.

Analîzek trafîkê ya tîpîk port, IP-yên çavkanî/armanc, û domaina bixwe ya çareserkirî nîşan dide; Ev ne tenê adetên gerokê eşkere dike, ew her weha hêsantir dike ku girêdanên paşîn, bo nimûne, bi navnîşanên Twitterê an yên wekhev re werin girêdan, û were texmînkirin ku we tam kîjan rûpelan ziyaret kirine.

Bi DoT re, peyama DNS diçe hundirê TLS li ser porta 853; bi DoH re, Pirsa DNS di daxwazek HTTPS-ya standard de tê kapsul kirin, ku di heman demê de ji hêla sepanên webê ve bi rêya API-yên gerokê ve karanîna wê gengaz dike. Her du mekanîzma jî heman bingehê parve dikin: pejirandina serverê bi sertîfîkayek û kanalek şîfrekirî ya serî-bi-serî.

Naveroka taybetî - Li vir bikirtînin  Meriv çawa BYJU-yê biparêze?

Pirsgirêka portên nû ew e ku ew ji bo gelemperî ye hin tor 853 asteng dikin, nermalavê teşwîq dike ku "vegere" DNS-ya neşîfrekirî. DoH vê yekê bi karanîna 443-ê kêm dike, ku ji bo webê gelemperî ye. DNS/QUIC jî wekî vebijarkek din a sozdar heye, her çend ew hewceyê UDP-ya vekirî ye û her gav ne berdest e.

Tewra dema şîfrekirina veguhastinê jî, bi yek nuwazeyê baldar bin: Eger çareserker derewan bike, şîfre wê rast nake.Ji bo vê armancê, DNSSEC heye, ku destûrê dide pejirandina yekparebûna bersivê, her çend pejirandina wê ne berfireh be û hin navbeynkar fonksiyonên wê xera bikin. Dîsa jî, DoH rê li ber aliyên sêyemîn digire ku di rê de lêpirsînên we bişopînin an jî destwerdanê bikin.

Bêyî ku dest li routerê bidin çalak bikin: gerok û pergal

Riya herî rasterast a destpêkirinê ew e ku DoH di geroka xwe an pergala xebitandinê ya xwe de çalak bikî. Bi vî rengî hûn pirsan ji tîmê xwe diparêzin bêyî ku bi firmware-a routerê ve girêdayî be.

Google Chrome

Di guhertoyên heyî de hûn dikarin biçin chrome://settings/security û, di bin "DNS-ya ewle bikar bînin" de, vebijarkê çalak bike û pêşkêşvan hilbijêre (pêşkêşvanê we yê niha ger ew DoH piştgirî dikin an yek ji navnîşa Google-ê wekî Cloudflare an Google DNS).

Di guhertoyên berê de, Chrome guheztinek ceribandinî pêşkêş kir: celeb chrome://flags/#dns-over-https, li "Lêgerînên DNS-ya Ewle" bigere û wê ji Default bo Enabled biguherîneJi bo sepandina guhertinan geroka xwe ji nû ve bidin destpêkirin.

Microsoft Edge (Chromium)

Edge-ya li ser bingeha Chromium vebijarkek dişibihe vê vedihewîne. Ger hewcedariya we pê hebe, biçin edge://flags/#dns-over-https, "Lêgerînên DNS-ya Ewle" bibîne û wê di Çalakkirî de çalak bikeDi guhertoyên nûjen de, çalakkirin di mîhengên nepeniya we de jî heye.

Mozilla Firefox

Menûyê veke (jor rastê) > Mîheng > Giştî > ber bi jêr ve biçe "Mîhengên Torgilokê", li ser bitikîne veavakirina û nîşan bike "DNS li ser HTTPS çalak bikeHûn dikarin ji dabînkerên mîna Cloudflare an NextDNS hilbijêrin.

Heke hûn kontrola baş tercîh dikin, di about:config sererast dike network.trr.mode: 2 (oportunîst) DoH bikar tîne û alternatîfek çêdike eger peyda nebe; 3 fermanên (hişk) DoH û eger piştgirî tune be têk diçe. Bi moda hişk, çareserkerek bootstrap wekî pênase bike network.trr.bootstrapAddress=1.1.1.1.

Opîra

Ji guhertoya 65-an vir ve, Opera vebijarkek vedihewîne ku DoH bi 1.1.1.1 çalak bikeEw bi xweber neçalak tê û bi awayê firsendperest dixebite: eger 1.1.1.1:443 bersiv bide, ew ê DoH bikar bîne; wekî din, ew vedigere çareserkerê neşîfrekirî.

Windows 10/11: Otodetektîf (AutoDoH) û Qeyda

Windows dikare DoH bi hin çareserkerên naskirî bixweber çalak bike. Di guhertoyên kevintir de, hûn dikarin tevgerê bi zorê bikin ji Qeyda Registry: bimeşîne regedit û biçin ba HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

DWORD (32-bit) bi navê çêbike EnableAutoDoh bi wêrekî 2 y komputerê ji nû ve bidin destpêkirinEv dixebite heke hûn serverên DNS-ê yên ku DoH piştgirî dikin bikar tînin.

Windows Server 2022: Xerîdarê DNS bi DoH-ya xwemalî

Muwekîlê DNS-ê yê çêkirî di Windows Server 2022 de DoH piştgirî dike. Hûn ê tenê bikaribin DoH bi serverên ku di navnîşa "DoH-ya Naskirî" de ne bikar bînin. yan jî ku hûn bi xwe lê zêde dikin. Ji bo mîhengkirina wê ji navrûya grafîkî:

  1. Mîhengên Windows-ê veke > Tora û Internetnternetê.
  2. Bi nav kirin ethernet û interfaceê xwe hilbijêre.
  3. Li ser ekrana torê, ber bi jêr ve biçin DNS veavakirina û çap bike Edit.
  4. Ji bo destnîşankirina serverên bijarte û yên alternatîf "Manual" hilbijêrin.
  5. Eger ew navnîşan di navnîşa DoH ya naskirî de bin, ew ê were çalak kirin. "Şîfrekirina DNS ya Tercîhkirî" bi sê vebijarkan:
    • Tenê şîfrekirin (DNS li ser HTTPS): DoH bi zorê bike; heke server DoH piştgirî neke, çareserî çênabe.
    • Şîfrekirin tercîh bike, neşîfrekirî bihêle: Hewl dide DoH bike û eger bi ser nekeve, vedigere ser DNS-a klasîk a neşîfrekirî.
    • Tenê bê şîfrekirinDNS-ya sade ya kevneşopî bi kar tîne.
  6. Ji bo sepandina guhertinan tomar bike.

Her weha hûn dikarin bi karanîna PowerShell-ê navnîşa çareserkerên DoH-ê yên naskirî lêpirsîn bikin û berfireh bikin. Ji bo dîtina lîsteya heyî:

Get-DNSClientDohServerAddress

Ji bo qeydkirina serverek DoH ya nû ya naskirî bi şablona xwe, bikar bînin:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Ji bîr meke ku cmdlet Set-DNSClientServerAddress xwe kontrol nake bikaranîna DoH; şîfrekirin bi wê ve girêdayî ye ku ew navnîşan di tabloya serverên DoH yên naskirî de ne. Hûn niha nikarin DoH ji bo xerîdarê DNS-ê yê Windows Server 2022 ji Navenda Rêveberiya Windows-ê an jî bi sconfig.cmd.

Siyaseta Komê li Windows Server 2022

Rênîşanderek heye ku jê re dibêjin "DNS li ser HTTPS-ê mîheng bike (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSDema ku çalak be, hûn dikarin hilbijêrin:

  • Destûrê bide DoHGer server piştgirî dike DoH bikar bîne; wekî din, lêpirsîn bê şîfrekirin.
  • Ban DoH: qet DoH bikar nayne.
  • DoH pêwîst e: DoH ferz dike; eger piştgirî tune be, çareserî bi ser nakeve.
Naveroka taybetî - Li vir bikirtînin  Meriv çawa antivirusek Avast bikar tîne

Girîng: "Require DoH" li ser komputerên ku bi domainê ve girêdayî ne çalak nekeActive Directory xwe dispêre DNS-ê, û rola Windows Server DNS Server lêpirsînên DoH piştgirî nake. Ger hûn hewce ne ku trafîka DNS-ê di hawîrdorek AD-ê de ewle bikin, karanîna wê bifikirin. Rêgezên IPsecê di navbera xerîdar û çareserkerên navxweyî de.

Heke hûn dixwazin domainên taybetî ber bi çareserkerên taybetî ve beralî bikin, hûn dikarin bikar bînin NRPT (Tabloya Siyaseta Çareserkirina Navan)Eger servera armanc di lîsteya DoH ya naskirî de be, ew şêwirmendiyan dê bi rêya DoH-ê rêwîtiyê bike.

Android, iOS û Linux

Li ser Android 9 û jortir, vebijark DNS-ya taybet destûrê dide DoT (ne DoH) bi du awayan: "Otomatîk" (fersendperest, çareserkerê torê digire) û "Hişk" (divê hûn navekî mêvandar diyar bikin ku ji hêla sertîfîkayê ve hatî pejirandin; IP-yên rasterast nayên piştgirî kirin).

Li ser iOS û Androidê, sepanê 1.1.1.1 Cloudflare bi karanîna API-ya VPN-ê, DoH an DoT di moda hişk de çalak dike da ku daxwazên neşîfrekirî bigire û wan bi rêya kanalek ewle bişînin.

Li ser Linux, systemd-çareser kirin ji systemd 239 vir ve DoT piştgirî dike. Ew bi xwerû neçalak e; ew moda oportunîst bêyî pejirandina sertîfîkayan û moda hişk (ji 243 vir ve) bi pejirandina CA lê bêyî SNI an verastkirina navî pêşkêş dike, ku modela baweriyê qels dike li dijî êrîşkaran li ser rê.

Li ser Linux, macOS, an Windows-ê, hûn dikarin xerîdarek DoH-ê ya moda hişk hilbijêrin wekî cloudflared proxy-dns (her çend bi xwerû ew 1.1.1.1 bikar tîne) hûn dikarin jorîn diyar bikin alternatîf).

Serverên DoH yên Naskirî (Windows) û çawa bêtir lê zêde bikin

Windows Server navnîşek çareserkeran vedihewîne ku tê zanîn ku DoH piştgirî dikin. Hûn dikarin wê bi PowerShell-ê kontrol bikin û heke pêwîst be, tomarên nû lê zêde bikin.

Ev in serverên DoH yên naskirî ji qutiyê derketine:

Xwediyê Serverê Navnîşanên IP-yê yên servera DNS-ê
CloudFlare 1.1.1.1
1.0.0.1
2606: 4700: 4700 :: 1111
2606: 4700: 4700 :: 1001
Gûgil 8.8.8.8
8.8.4.4
2001: 4860: 4860 :: 8888
2001: 4860: 4860 :: 8844
Quad9 9.9.9.9
149.112.112.112
2620: fe fe ::
2620: fe :: fe: 9

para lîsteyê bibîne, run:

Get-DNSClientDohServerAddress

para çareserkerek DoH ya nû bi şablona wê zêde bike, karanîn:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Eger hûn gelek navên cuda birêve bibin, NRPT dê bihêle hûn birêvebirina domainên taybetî ji bo çareserkerek taybetî ku DoH piştgirî dike.

Meriv çawa kontrol dike ka DoH çalak e an na

Di gerokan de, serdana https://1.1.1.1/help; li wir hûn ê bibînin ka gelo trafîka we DoH bikar tîne bi 1.1.1.1 re be yan na. Ew ceribandinek bilez e ji bo dîtina rewşa we.

Di Windows 10 (guhertoya 2004) de, hûn dikarin bi karanîna trafîka DNS ya klasîk (port 53) bişopînin. pktmon ji konsoleke îmtiyazî:

pktmon filter add -p 53
pktmon start --etw -m real-time

Eger rêzeyeke berdewam a pakêtan li ser 53 xuya bibe, pir mimkûn e ku hûn hîn jî DNS-ya neşîfrekirî bikar tînin. Bînin bîra xwe: parametre --etw -m real-time 2004 hewce dike; di guhertoyên berê de hûn ê xeletiyek "parametreya nenas" bibînin.

Vebijarkî: li ser routerê mîheng bike (MikroTik)

Heke hûn tercîh dikin ku şîfrekirinê li ser routerê navendî bikin, hûn dikarin DoH-ê li ser cîhazên MikroTik bi hêsanî çalak bikin. Pêşîn, CA-ya root import bikin ku dê ji hêla servera ku hûn ê pê ve girêdayî bibin ve were îmzekirin. Ji bo Cloudflare hûn dikarin dakêşin DigiCertGlobalRootCA.crt.pem.

Pelê li routerê bar bike (bi kaşkirina wê ber bi "Pelan"), û biçe Sîstem > Sertîfîka > Import ji bo tevlêkirina wê. Dûv re, DNS-ya routerê bi URL-yên DoH-ê yên CloudflareDema ku çalak bibe, router dê girêdana şîfrekirî li ser DNS-a neşîfrekirî ya xwerû bide pêşîniyê.

Naveroka taybetî - Li vir bikirtînin  Asta Ewlekariya Webex çi ye?

Ji bo piştrastkirina ku her tişt di rêk û pêk de ye, serdana 1.1.1.1/alîkarî ji kompîturek li pişt routerê. Her weha hûn dikarin her tiştî bi rêya termînalê bikin di RouterOS de, heke hûn tercîh bikin.

Performans, nepeniya zêde û sînorên rêbazê

Dema ku dor tê ser lezê, du pîvan girîng in: dema çareseriyê û barkirina rastîn a rûpelê. Testên serbixwe (wek SamKnows) Ew digihîjin wê encamê ku cudahiya di navbera DoH û DNS-a klasîk (Do53) de li her du aliyan jî pir kêm e; di pratîkê de, divê hûn ti hêdîbûnê ferq nekin.

DoH "lêpirsîna DNS" şîfre dike, lê li ser torê sînyalên zêdetir hene. Tewra ku hûn DNS-ê veşêrin jî, ISP dikare tiştan texmîn bike bi rêya girêdanên TLS (mînak, SNI di hin senaryoyên kevn de) an şopên din. Ji bo baştirkirina nepenîtiyê, hûn dikarin DoT, DNSCrypt, DNSCurve, an xerîdarên ku metadata kêm dikin bikolin.

Ne hemî ekosîstem hîna piştgiriyê didin DoH. Gelek çareserkerên mîratî vê yekê pêşkêş nakin., ferzkirina girêdana bi çavkaniyên giştî (Cloudflare, Google, Quad9, hwd.). Ev nîqaşa li ser navendîbûnê vedike: balkişandina ser çend aktoran lêçûnên nepenîtiyê û baweriyê dihewîne.

Di jîngehên şîrketan de, DoH dibe ku bi polîtîkayên ewlehiyê yên ku li ser bingeha wan hatine avakirin re li hev bikeve. Çavdêrîkirin an jî fîlterkirina DNS (malware, kontrolên dêûbavan, pabendbûna qanûnî). Çareserî Siyaseta MDM/Koma dihewîne da ku çareserkerek DoH/DoT li ser moda hişk bicîh bike, an jî bi kontrolên asta serîlêdanê re were hev kirin, ku ji astengkirina li ser bingeha domainê rasttir in.

DNSSEC DoH temam dike: DoH veguhastinê diparêze; DNSSEC bersivê piştrast dikePejirandin ne yekreng e, û hin cîhazên navber wê têk dibin, lê meyl erênî ye. Li ser rêya di navbera çareserker û serverên otorîter de, DNS bi kevneşopî bê şîfre dimîne; jixwe ceribandinên karanîna DoT di nav operatorên mezin de hene (mînak, 1.1.1.1 bi serverên otorîter ên Facebookê re) da ku parastinê baştir bikin.

Alternatîfek navber ew e ku tenê di navbera wan de şîfrekirin were kirin. router û çareserker, girêdana di navbera cîhazan û routerê de bê şîfre dihêle. Li ser torên bi kabloyî yên ewle bikêr e, lê li ser torên Wi-Fi yên vekirî nayê pêşniyar kirin: bikarhênerên din dikarin van lêpirsînan di nav LAN-ê de casûs bikin an jî wan manîpule bikin.

Çareseriya DoH-a xwe çêke

Heke hûn serxwebûna tevahî dixwazin, hûn dikarin çareserkera xwe bicîh bikin. Bê sînor + Redis (keşeya L2) + Nginx kombînasyoneke populer e ji bo pêşkêşkirina URL-yên DoH û fîlterkirina domainan bi navnîşên ku bixweber têne nûvekirin.

Ev stûn li ser VPS-yek nerm bi rengek bêkêmasî dixebite (mînakî, yek navik/2 têl ji bo malbatekê). Rêbernameyên bi rêwerzên amade-ji-bo-karanînê hene, wekî vê depoyê: github.com/ousatov-ua/dns-filtering. Hin pêşkêşvanên VPS krediyên pêşwaziyê pêşkêş dikin ji bo bikarhênerên nû, ji ber vê yekê hûn dikarin ceribandinek bi lêçûnek kêm saz bikin.

Bi çareserkerê xwe yê taybet re, hûn dikarin çavkaniyên fîlterkirina xwe hilbijêrin, polîtîkayên ragirtinê biryar bidin û ji navendîkirina pirsên xwe dûr bisekinin ji bo aliyên sêyemîn. Di berdêla vê de, hûn ewlehî, lênêrîn û berdestbûna bilind birêve dibin.

Berî dawîkirinê, noteyek li ser derbasdariyê: li ser Înternetê, vebijark, menû û nav pir caran diguherin; hin rêberên kevin kevnar in (Bo nimûne, di guhertoyên dawî de êdî ne hewce ye ku meriv di nav "alayan" de di Chrome de bigerîne.) Her tim li belgekirina gerok an pergala xwe kontrol bike.

Eger te heta niha xwe gihandiye vê astê, tu jixwe dizanî DoH çi dike, ew çawa di nav puzzle-a DoT û DNSSEC-ê de cih digire, û ya herî girîng jî, çawa niha li ser cîhaza xwe çalak bikî ji bo rêgirtina li DNS-ê ku bi awayekî zelal neçe. Bi çend klîkan di geroka we de an jî bi sererastkirinên di Windows-ê de (heta di asta polîtîkayê de di Server 2022 de) hûn ê pirsên şîfrekirî hebin; heke hûn dixwazin tiştan bigihînin astek din, hûn dikarin şîfrekirinê veguhezînin routera MikroTik an jî çareserkera xwe ava bikin. Mifte ev e ku, Bêyî ku dest bidin routera xwe, hûn dikarin yek ji beşên herî gotegotkirî yên trafîka xwe îro biparêzin..