Blokir Sosial Media Dengan NextDNS
NextDNS ini memiliki fitur “Parental Control”. Pada fitur inilah kita dapat memilih aplikasi apa saja yang tidak boleh diakses oleh pengguna, pada contoh berikut saya mengaktifkan Block terhadap beberapa aplikasi sosial media.
Ada juga fitur “Denylist” yang bisa kita gunakan untuk memblokir situs web secara lebih spesifik berdasarkan urlnya seperti gambar di bawah ini.
Setelah beberapa menit fitur ini diaktifkan, maka aplikasi maupun situs yang diblokir tidak akan bisa diakses lagi.
Berikut pengujian saat saya mencoba membuka aplikasi Youtube, Instagram dan Facebook Lite melalui HP saya. Hasilnya ketiga aplikasi tersebut tidak dapat menampilkan konten sama sekali 🙂
Begitulah cara melakukan Blokir Sosial Media di Mikrotik dengan menggunakan DoH. Sampai sekarang cara inilah yang saya pilih karena menurut saya paling ampuh, aman, dan tidak terlalu membebani mikrotik.
Hi!, saya adalah lulusan S1 Sistem Informasi yang memiliki minat tinggi terhadap Web Development. Belajar tentang Web Development adalah bagian dari hobi saya, sedangkan IT Technical Support adalah pekerjaan saya sehari-hari.
Blokir Sosmed Apps di Mikrotik Menggunakan DoH
by Muhammad Niko Monday, 4 December 2023 at 22:17
Blokir Sosmed Apps di Mikrotik Menggunakan DoH – Dalam sebuah network, terkadang kita perlu untuk mengatur apa saja yang boleh dan tidak boleh diakses oleh pengguna. Contohnya jaringan internet kantor yang disediakan untuk keperluan pekerjaan bukan untuk hiburan. Maka dari itu perusahaan meminta untuk melakukan blokir terhadap situs dan aplikasi hiburan (Contoh: Youtube, Instagram, dan Tiktok) sehingga tidak dapat diakses menggunakan jaringan kantor.
Banyak cara yang saya temukan untuk blokir sosmed, misal dengan memanfaatkan fitur firewall bawaan mikrotik. Namun dari beberapa metode Blokir menggunakan firewall yang saya coba belum ada yang bisa menutup secara penuh akses ke sosial media yang ingin diblokir. Khususnya saat diakses melalui apps pada device android.
Setelah mencoba dan membandingkan antara cara satu dan lainnya, akhirnya saya memilih untuk menggunakan DoH (DNS over HTTPS) sebagai solusi untuk Blokir Sosial Media di Mikrotik.
Jadi DoH (DNS over HTTPS) ini adalah layanan DNS yang diterapkan menggunakan protokol HTTPS sehingga semua queries maupun response DNS akan terenkripsi. intinya DoH ini sama fungsinya layaknya “DNS tradisional” hanya saja lebih privasi dan aman karena terenkripsi.
Lalu bagaimana kita bisa memblokir situs menggunakan DoH? jawabannya adalah tergantung penyedia layanan DoH yang akan digunakan apakah menyediakan fitur untuk Block Sosmed atau tidak.
Ada banyak penyedia layanan DNS yang sudah mendukung DoH, salah satunya adalah NextDNS yang saya gunakan saat ini karena fitur keamanan yang ditawarkan lumayan lengkap dan tersedia fitur block sosmed tentunya.
Untuk dapat menggunakan DoH pada mikrotik, pastikan kalian menggunakan routeros versi 6.47 ke atas ya.
Domain Name System (DNS) usually refers to the Phonebook of the Internet. In other words, DNS is a database that links strings (known as hostnames), such as www.mikrotik.com to a specific IP address, such as 159.148.147.196.
A MikroTik router with DNS feature enabled can be set as a DNS server for any DNS-compliant client. Moreover, the MikroTik router can be specified as a primary DNS server under its DHCP server settings. When the remote requests are enabled, the MikroTik router responds to TCP and UDP DNS requests on port 53.
When both static and dynamic servers are set, static server entries are more preferred, however, it does not indicate that static server will always be used (for example, previously query was received from a dynamic server, but static was added later, then a dynamic entry will be preferred).
When DNS server allow-remote-requests are used make sure that you limit access to your server over TCP and UDP protocol port 53.
Let`s take as an example the following setup: Internet service provider (ISP) → Gateway (GW) → Local area network (LAN). The GW is RouterOS based device with the default configuration:
This menu provides two lists with DNS records stored on the server:
Empty a DNS cache you can with the command: /ip dns cache flush
The MikroTik RouterOS has an embedded DNS server feature in the DNS cache. It allows you to link the particular domain names with the respective IP addresses and advertize these links to the DNS clients using the router as their DNS server. This feature can also be used to provide fake DNS information to your network clients. For example, resolving any DNS request for a certain set of domains (or for the whole Internet) to your own page.
The server is capable of resolving DNS requests based on POSIX basic regular expressions so that multiple requests can be matched with the same entry. In case an entry does not conform with DNS naming standards, it is considered a regular expression and marked with an ‘R’ flag. The list is ordered and is checked from top to bottom. Regular expressions are checked first, then the plain records.
Use regex to match DNS requests:
Regexp is case sensitive, but DNS requests are not case sensitive, RouterOS converts DNS names to lowercase, you should write regex only with lowercase letters. Regular expression matching is significantly slower than of the plain entries, so it is advised to minimize the number of regular expression rules and optimize the expressions themselves.
Dynamic DNS servers are obtained from the DHCP server with the DHCP client configuration. Let`s assume we don't want to use both dynamic servers, but only one of them:
Starting from RouterOS version v6.47 it is possible to use DNS over HTTPS (DoH). DoH uses HTTPS protocol to send and receive DNS requests for better data integrity. Its main goal is to provide privacy by eliminating the man-in-the-middle attacks (MITM). Currently, DoH is not compatible with FWD-type static entries, in order to utilize FWD entries, DoH must not be configured.
It is advised to import the root CA certificate of the DoH server you have chosen to use for increased security. We strongly suggest not use third-party download links for certificate fetching. Use the Certificate Authority's own website.
There are various ways to find out what root CA certificate is necessary. The easiest way is by using your WEB browser, navigating to the DoH site, and checking the security of the website. Using Firefox we can see that DigiCert Global Root CA is used by the Cloudflare DoH server. You can download the certificate straight from the browser or navigate to the DigiCert website and fetch the certificate from a trusted source.
Download the certificate and import it:
Configure the DoH server:
Note that you need at least one regular DNS server configured for the router to resolve the DoH hostname itself. If you do not have any dynamical or static DNS server configured, configure it like this:
Instantly share code, notes, and snippets.
Sau đó, chúng tôi cố gắng sử dụng DNS qua HTTPS
Để xác định các DOH Server, bạn có thể tìm thấy nó ở các trang web cung cấp DNS như cloudflare, google, quad9 hoặc các trang khác… Để xác minh, chúng tôi cần có các chứng chỉ DOH của máy chủ. Bạn có thể tìm chúng trên Internet. Chẳng hạn, /tool fetch url="https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem" /certificate import file-name=DigiCertGlobalRootCA.crt.pem Chúng tôi chép từng lệnh vào dán vào cửa sổ Terminal
Tại bước nhập chứng chỉ vào Routeros, hệ thống sẽ yêu cầu một mã bảo vệ để bảo vệ an toàn những chứng chỉ này. Hãy nhập một mật khẩu bạn luôn nhớ ! Tiếp theo, chúng tôi tìm các máy chủ DOH trên Internet. Sử dụng DoH Server: Bạn tìm thấy các địa chỉ máy chủ DOH tại các trang web của nhà cung cấp DNS như cloudflare, google, quad9 hoặc các trang khác… Đây là một máy chủ DOH: https://cloudflare-dns.com/dns-query Chúng tôi thêm máy chủ DOH này vào Router.
Sau đó chúng tôi kiểm tra kết quả.
Các vấn đề khi sử dụng DoH.
- Tôi có thể vượt qua các trang web chặn của ISP ? Được hoặc Không. Nếu ISP chỉ chặn tên miền thì bạn có thể truy cập; nếu ISP chặn IP máy chủ, bạn không thể truy cập.
- Tôi cấu hình DOH trên Router nghĩa là sao ? Nghĩa là Router của bạn đã thiết lập liên kết bảo mật DNS với máy chủ DNS. Bạn cần khai báo DNS cho các thiết bị trong mạng của bạn sử dụng địa chỉ IP của Router làm máy chủ DNS mới có thể hoạt động trên DOH.
Đơn giản đúng không nào. Hãy thử kiểm tra và thử nghiệm. Chúc các bạn thành công.
ncravino/mikrotik_enforce_dns_block_doh
You can’t perform that action at this time.
Mục đích chính của việc sử dụng DoH là cung cấp sự riêng tư cho các liên kết truy cập Internet bằng cách loại bỏ tấn công theo kiểu MITM. Ví dụ ở đây tôi đang sử dụng một đường truyền Internet của một ISP và ISP đang thực hiện chính sách “cưỡng chế” đọc các liên kết truy cập của chúng tôi và điều hướng chúng về các máy chủ DNS của ISP. Điều này gây bất tiện cho người dùng, ví dụ DNS thuộc ISP đang chặn, một trang web chẳng hạn như routertik.vn
Chúng tôi mô tả qua hai mô hình cơ bản. Với mô hình A, các lưu lượng truy vấn kết nối với máy chủ DNS từ xa thông thường Với mô hình B, ISP đã quản lí các lưu lượng truy cập trên máy tính của chúng tôi và khách hàng, chẳng hạn trang web https://routertik.vn bị chặn từ phía ISP. Router ISP là bộ định tuyến của ISP. Router Client là bộ định tuyến của chúng tôi, sẽ sử dụng DNS qua HTTPS để vượt qua cơ chế chặn.
Setting NextDNS Pada Mikrotik
Untuk menggunakan NextDNS kita harus buat akun terlebih dahulu di situs NextDNS: https://my.nextdns.io/signup
Kemudian tambahkan konfigurasi berikut pada mikrotik :
Untuk panduan yang lebih lengkapnya bisa kalian lihat sendiri pada bagian setup di dashboard nextDNS kalian atau membaca dokumentasi lengkap NextDNS yaa.
Đảm bảo sử dụng bộ định tuyến phiên bản 6.47
Nếu phiên bản bộ định tuyến vẫn dưới 6.47, trước tiên có thể cập nhật thông qua Menu System → Packages → Check for updates. Kể từ ngày 3 tháng 6 năm 2020 phiên bản 6.47 đã vào nhánh stable.