Базовая настройка DNS FWD

1

Выставляем DNS

/ip dns set servers=1.1.1.1,1.0.0.1
2

Разрешаем сторонние сертификаты

/certificate settings set builtin-trust-anchors=trusted
3

Скачиваем DoH сертификаты

/tool fetch https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
4

Устанавливаем сертификат во встроенную флеш-память роутера

/certificate import file-name=DigiCertGlobalRootG2.crt.pem passphrase=""
5

Задаём DNS over HTTPS с фильтрацией от вредоносных доменов

/ip dns forwarders add doh-servers=https://1.1.1.1/dns-query name=CloudFlare
/ip dns set use-doh-server=https://security.cloudflare-dns.com/dns-query verify-doh-cert=yes
6

Выставляем время DNS

/ip/dns set address-list-extra-time=0s
7

Добавляем первый домен 2ip.ru для теста

(Если он уже есть в каких-то правилах — убираем оттуда)

/ip dns static add address-list=DNS_FWD_VPN disabled=no forward-to=CloudFlare match-subdomain=yes name=2ip.ru ttl=1d type=FWD
8

Создаём таблицу маркировки

/routing/table add disabled=no fib name=to-vless
9

Создаём роут на VPN

/ip/route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=12.0.0.5 pref-src="" routing-table=to-vless scope=30 suppress-hw-offload=no target-scope=10
10

Добавляем правила маркировки

LAN1 заменить на ваш список интерфейс-листов локальной сети. Правила поставить выше всех ваших. 3-я строка: bridge1 — заменить на название вашего бриджа локальной сети.

/ip firewall mangle add action=mark-connection chain=prerouting comment="DNS FWD to VLESS" connection-mark=no-mark dst-address-list=DNS_FWD_VPN in-interface-list=LAN1 new-connection-mark=to_dpi
/ip firewall mangle add action=mark-connection chain=prerouting comment="DNS FWD to VLESS (+YouTube MSS)" connection-mark=no-mark dst-address-list=MSS_DNS_FWD in-interface-list=LAN1 new-connection-mark=to_dpi
/ip firewall mangle add action=mark-routing chain=prerouting comment="DNS FWD to VLESS" connection-mark=to_dpi in-interface=bridge1 new-routing-mark=to-vless passthrough=no
/ip firewall mangle add action=change-mss chain=forward comment="DNS FWD to VLESS (+YouTube MSS)" dst-address-list=MSS_DNS_FWD new-mss=88 passthrough=no protocol=tcp src-address=12.0.0.5 tcp-flags=syn
11

Важное

/ip firewall filter set [find action=fasttrack-connection] packet-mark=no-mark connection-mark=no-mark
12

Указываем адреса локальной сети

Тут нужно пометить IP локальной сети, вместо 192.168.0.0/16. Пример: у меня это 10.1.0.0/24

/ip/firewall/address-list/ add address=192.168.0.0/16 list=local
13

Настраиваем перехват DNS запросов клиентов

LAN1 заменить на ваш список интерфейс-листов локальной сети. Правила поставить сразу после 0-го правила, т.е. 1 и 2.

/ip firewall nat add action=redirect comment="DNS redirect" chain=dstnat dst-address-list=!local dst-port=53,1253,5353 in-interface-list=LAN1 protocol=udp
/ip firewall nat add action=redirect comment="DNS redirect" chain=dstnat dst-address-list=!local dst-port=53,1253,5353 in-interface-list=LAN1 protocol=tcp
ПредыдущаяDiscord DNS FWDСледующаяКак добавить популярный сайт