Базовая настройка DNS FWD

Выставляем DNS

/ip dns set servers=1.1.1.1,1.0.0.1

Разрешаем сторонние сертификаты

/certificate settings set builtin-trust-anchors=trusted

Скачиваем DoH сертификаты

/tool fetch https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem

Устанавливаем сертификат во встроенную флеш-память роутера

/certificate import file-name=DigiCertGlobalRootG2.crt.pem passphrase=""

Задаём dns over https с фильтрацией от вредоносных доменов

/ip dns forwarders add doh-servers=https://1.1.1.1/dns-query name=CloudFlare
/ip dns set use-doh-server=https://security.cloudflare-dns.com/dns-query verify-doh-cert=yes

Выставляем время DNS

/ip/dns set address-list-extra-time=0s

Добавляем первый домен 2ip.ru, для теста(Если он уже есть в каких-то правилах - убираем оттуда)

/ip dns static add address-list=DNS_FWD_VPN disabled=no forward-to=CloudFlare match-subdomain=yes name=2ip.ru ttl=1d type=FWD

Создаём таблицу маркировки

/routing/table add disabled=no fib name=to-vless

Создаём роут на VPN

/ip/route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=12.0.0.5 pref-src="" routing-table=to-vless scope=30 suppress-hw-offload=no target-scope=10

Добавляем правила маркировки

LAN1 заменить на ваш список интерфейс листов локальной сети Правила поставить выше всех ваших 3 строка: bridge1 - заменить на название вашего бриджа локальной сети

/ip firewall mangle add action=mark-connection chain=prerouting comment="DNS FWD to VLESS" connection-mark=no-mark dst-address-list=DNS_FWD_VPN in-interface-list=LAN1 new-connection-mark=to_dpi
/ip firewall mangle add action=mark-connection chain=prerouting comment="DNS FWD to VLESS (+YouTube MSS)" connection-mark=no-mark dst-address-list=MSS_DNS_FWD in-interface-list=LAN1 new-connection-mark=to_dpi
/ip firewall mangle add action=mark-routing chain=prerouting comment="DNS FWD to VLESS" connection-mark=to_dpi in-interface=bridge1 new-routing-mark=to-vless passthrough=no
/ip firewall mangle add action=change-mss chain=forward comment="DNS FWD to VLESS (+YouTube MSS)" dst-address-list=MSS_DNS_FWD new-mss=88 passthrough=no protocol=tcp src-address=12.0.0.5 tcp-flags=syn

Важное

/ip firewall filter set [find action=fasttrack-connection] packet-mark=no-mark connection-mark=no-mark

Указываем адреса локальной сети

Тут нужно пометить IP локальной сети, вместо 192.168.0.0/16. Пример: У меня это 10.1.0.0/24

/ip/firewall/address-list/ add address=192.168.0.0/16 list=local

Настраиваем перехвата DNS запросов клиентов

LAN1 заменить на ваш список интерфейс листов локальной сети Правила поставить сразу после 0-го правила, т.е. 1 и 2

/ip firewall nat add action=redirect comment="DNS redirect" chain=dstnat dst-address-list=!local dst-port=53,1253,5353 in-interface-list=LAN1 protocol=udp
/ip firewall nat add action=redirect comment="DNS redirect" chain=dstnat dst-address-list=!local dst-port=53,1253,5353 in-interface-list=LAN1 protocol=tcp

PreviousDNS FWD NextDiscord DNS FWD

Last updated 6 months ago