如何在MikroTik,裡面使用NextDNS
最近無意見發現一個新的 DNS 服務,這個服務叫做 NextDNS ,它有非常強大的功能,簡單說它能夠擋廣告、擋追蹤、惡意的連結…等等。所以研究了一下,下面先幫大家簡單介紹一下。
我原本的手機跟電腦就有購買 adgurad 在使用,成效上我覺得很不錯,在搭配他們自己推出的 browser plugin,擋廣告的效果就已經很不錯了,但是 adguard 畢竟還是需要在你想使用的裝置上安裝才能使用,我想要更底層可以隔絕廣告,甚至一些追蹤跟惡意連結的地方,就發現 NextDNS。它可以透過查詢 DNS 的方式,阻擋這些攻擊或是跟蹤。至於他的查詢速度因為它在台灣也有設置 DNS server ,所以反應速度可以相當快,可以看下面這張,他們在全世界部署的地方。
它們也支援 DoT (DNS-over-TLS) & DoH (DNS-over-HTTPS),所以只要你的裝置支援,用這種加密的查詢,會更加保障你在網路上的私密性。但不支援也沒關係,它也支援傳統的 DNS 查詢方式。
它的註冊方式非常的簡單,只要簡單的 email 就能完成註冊,註冊後進入管理介面,它的設定教學非常的詳細,也支援非常多種的方式,如下
- andriod
- iOS
- Windows
- macOS
- LInux
- Chrome OS
- Browser
- router
在 router 裡面支援相當多種不同廠牌的安裝方式
就算不支援新型態的協定 DoT & DoH ,也可以用傳統的 DNS 方式去做喔。
因為家裡是用 MikroTik 出的機器裡面是搭載 routeros ,所以只要使用下面指令
/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem
/ip dns set servers=
/ip dns static add name=dns.nextdns.io address=45.90.28.0 type=A
/ip dns static add name=dns.nextdns.io address=45.90.30.0 type=A
/ip dns static add name=dns.nextdns.io address=2a07:a8c0:: type=AAAA
/ip dns static add name=dns.nextdns.io address=2a07:a8c1:: type=AAAA
/ip dns set use-doh-server=“https://dns.nextdns.io/{{your-code}}” verify-doh-cert=yes
{{your-code}} 記得要用自己註冊完得到裝置號碼。
然後如果要強制使用這個 router 出去的裝置,不想讓他們自行指定 DNS 的話,可以透過 DSTNAT 將區網內要查詢 53 port(tcp/udp) 的東西都轉到 router(192.168.88.1) 自己本身查詢 DNS
我自己家的 router ip 是設定在 192.168.88.1,所以這個會依照各自需求去改
/ip firewall NAT add action=dst-nat chain=dstnat comment="force all 53 to router" dst-port=53 in-interface-list=LAN protocol=tcp to-addresses=192.168.88.1
/ip firewall NATadd action=dst-nat chain=dstnat dst-port=53 in-interface-list=LAN protocol=udp to-addresses=192.168.88.1
這樣家裡只要透過這台 router 連線網路的裝置,就都享有這個 DNS 防護的功能了。
如果看完上面介紹,覺得蠻心動的話,可以透過我的推廣連結 https://nextdns.io/?from=xwyhqrrp,去註冊喔。