DoH no Roteador: Guia Completo para OpenWRT, Mikrotik e Asus com Instruções Detalhadas
Descubra como implementar DNS over HTTPS (DoH) diretamente no seu roteador para aumentar a privacidade e segurança da sua rede. Este guia detalhado cobre OpenWRT, Mikrotik e Asus, explicando os benefícios e os passos necessários.
MundiX News·19 de maio de 2026·8 min de leitura·👁 10 views
O DNS (Domain Name System) é, em muitas redes domésticas, o último protocolo aberto que permite ao seu provedor de internet (ISP) ou a qualquer pessoa em uma rede Wi-Fi pública monitorar os sites que você visita. Enquanto protocolos como HTTPS têm sido protegidos e o SNI (Server Name Indication) está sendo gradualmente ocultado com ECH (Encrypted Client Hello), o DNS continua transmitindo informações em texto claro na porta 53. O DNS over HTTPS (DoH) resolve esse problema, não no dispositivo individual, mas diretamente no roteador, permitindo uma configuração única que protege todos os dispositivos conectados, desde smartphones e smart TVs até lâmpadas inteligentes.
Implementar DoH no roteador, em vez de em cada dispositivo individualmente, oferece vantagens significativas. Dispositivos como smart TVs, consoles de jogos ou aspiradores robôs frequentemente se comunicam com servidores externos para telemetria ou atualizações, e a configuração de DoH nesses aparelhos pode ser impossível ou impraticável. Ao configurar o DoH no roteador, você centraliza a proteção. Seu ISP não conseguirá mais visualizar suas consultas DNS, pois o tráfego será encapsulado em um fluxo TLS na porta 443, parecendo apenas tráfego HTTPS comum. Isso também protege contra ataques de DNS spoofing em redes Wi-Fi abertas ou em hotéis, onde um atacante poderia interceptar e manipular respostas DNS. Além disso, o DoH no roteador pode ajudar a contornar bloqueios de DNS impostos pelo ISP ou por redes corporativas, já que a porta 443 raramente é bloqueada. Finalmente, ele permite uma filtragem unificada de anúncios e rastreadores para todos os dispositivos na rede, algo que soluções como o Pi-hole fazem localmente, mas sem o benefício da criptografia externa.
Para implementar DoH no seu roteador, você precisará de um roteador compatível com DoH nativamente ou que permita a instalação de proxies como https-dns-proxy, dnscrypt-proxy ou stubby. Roteadores com firmware de fábrica fornecido pelo ISP geralmente não oferecem essa funcionalidade. Além disso, você precisará de um endpoint DoH. Para testes, endpoints públicos como os da Cloudflare (https://cloudflare-dns.com/dns-query) ou Quad9 (https://dns.quad9.net/dns-query) são excelentes opções. Para uso contínuo, um serviço próprio ou pago pode oferecer recursos adicionais como filtragem e estatísticas. O acesso ao roteador via SSH ou interface web é essencial, pois aplicativos móveis de gerenciamento geralmente não suportam configurações avançadas de DNS. Para o OpenWRT, a partir da versão 22.03, o https-dns-proxy está disponível nos repositórios, facilitando a configuração. Em roteadores Mikrotik com RouterOS 7 ou superior, o DoH é integrado e pode ser configurado diretamente no menu /ip dns. Para roteadores Asus com o firmware Merlin, o dnscrypt-proxy já vem incluído e pode ser ativado pela interface web ou via SSH para configurações personalizadas. Se o seu roteador não suporta DoH nativamente e não permite a instalação de pacotes adicionais, uma alternativa é configurar um servidor DoH em um dispositivo separado na sua rede (como um Raspberry Pi) e apontar o DNS do roteador para ele.
Para verificar se o DoH está funcionando corretamente, existem alguns métodos. Uma forma simples é acessar https://1.1.1.1/help em um navegador de um dispositivo conectado à rede. O Cloudflare indicará se o DoH está sendo utilizado; embora possa mostrar "No" para o próprio serviço deles, o IP do resolvedor DNS deve ser o do seu roteador ou do seu servidor DoH. Uma verificação mais técnica envolve o uso do dig com suporte a DoH (disponível em versões mais recentes do BIND) para consultar diretamente o seu endpoint DoH, garantindo que ele esteja acessível e respondendo corretamente. O método mais definitivo é usar tcpdump na interface WAN do roteador para monitorar o tráfego na porta 53. Se, após a configuração do DoH, você ainda observar tráfego DNS em texto claro saindo para a internet, isso indica que algum dispositivo está contornando o roteador. Nesses casos, regras de firewall podem ser necessárias para redirecionar ou bloquear todo o tráfego DNS de saída para a porta 53, forçando o uso do DoH. Serviços como NextDNS também oferecem dashboards em tempo real que mostram o fluxo de requisições DNS, permitindo confirmar se tudo está operando como esperado.
É importante estar ciente de alguns "подводные камни" (armadilhas) ao configurar DoH. Certificados raiz CA desatualizados em roteadores mais antigos podem causar falhas na validação TLS; atualizações de pacotes de certificados ou importação manual de certificados raiz podem resolver isso. Em casos raros, ISPs podem bloquear a porta 443, exigindo o uso de portas alternativas ou DNS over TLS (DoT). Portais cativos em hotéis e cafés podem apresentar problemas, pois o redirecionamento para a página de login geralmente depende de manipulação DNS que o DoH pode impedir. Proteção contra DNS rebinding em firmwares como o OpenWRT pode bloquear o acesso a serviços locais se não for configurada corretamente para domínios específicos. Para redes de convidados, é recomendável configurar um perfil DoH separado para manter as estatísticas limpas. Finalmente, em cenários de CGNAT ou NAT duplo, o handshake TLS inicial pode apresentar latência elevada; o uso de TLS session resumption pode mitigar isso. Implementar DoH no roteador é um passo crucial para a privacidade moderna, transformando um protocolo vulnerável em um canal seguro e protegendo toda a sua rede.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O DNS (Domain Name System) é, em muitas redes domésticas, o último protocolo aberto que permite ao seu provedor de internet (ISP) ou a qualquer pessoa em uma rede Wi-Fi pública monitorar os sites que você visita. Enquanto protocolos como HTTPS têm sido protegidos e o SNI (Server Name Indication) está sendo gradualmente ocultado com ECH (Encrypted Client Hello), o DNS continua transmitindo informações em texto claro na porta 53. O DNS over HTTPS (DoH) resolve esse problema, não no dispositivo individual, mas diretamente no roteador, permitindo uma configuração única que protege todos os dispositivos conectados, desde smartphones e smart TVs até lâmpadas inteligentes.
Implementar DoH no roteador, em vez de em cada dispositivo individualmente, oferece vantagens significativas. Dispositivos como smart TVs, consoles de jogos ou aspiradores robôs frequentemente se comunicam com servidores externos para telemetria ou atualizações, e a configuração de DoH nesses aparelhos pode ser impossível ou impraticável. Ao configurar o DoH no roteador, você centraliza a proteção. Seu ISP não conseguirá mais visualizar suas consultas DNS, pois o tráfego será encapsulado em um fluxo TLS na porta 443, parecendo apenas tráfego HTTPS comum. Isso também protege contra ataques de DNS spoofing em redes Wi-Fi abertas ou em hotéis, onde um atacante poderia interceptar e manipular respostas DNS. Além disso, o DoH no roteador pode ajudar a contornar bloqueios de DNS impostos pelo ISP ou por redes corporativas, já que a porta 443 raramente é bloqueada. Finalmente, ele permite uma filtragem unificada de anúncios e rastreadores para todos os dispositivos na rede, algo que soluções como o Pi-hole fazem localmente, mas sem o benefício da criptografia externa.
Para implementar DoH no seu roteador, você precisará de um roteador compatível com DoH nativamente ou que permita a instalação de proxies como https-dns-proxy, dnscrypt-proxy ou stubby. Roteadores com firmware de fábrica fornecido pelo ISP geralmente não oferecem essa funcionalidade. Além disso, você precisará de um endpoint DoH. Para testes, endpoints públicos como os da Cloudflare (https://cloudflare-dns.com/dns-query) ou Quad9 (https://dns.quad9.net/dns-query) são excelentes opções. Para uso contínuo, um serviço próprio ou pago pode oferecer recursos adicionais como filtragem e estatísticas. O acesso ao roteador via SSH ou interface web é essencial, pois aplicativos móveis de gerenciamento geralmente não suportam configurações avançadas de DNS. Para o OpenWRT, a partir da versão 22.03, o https-dns-proxy está disponível nos repositórios, facilitando a configuração. Em roteadores Mikrotik com RouterOS 7 ou superior, o DoH é integrado e pode ser configurado diretamente no menu /ip dns. Para roteadores Asus com o firmware Merlin, o dnscrypt-proxy já vem incluído e pode ser ativado pela interface web ou via SSH para configurações personalizadas. Se o seu roteador não suporta DoH nativamente e não permite a instalação de pacotes adicionais, uma alternativa é configurar um servidor DoH em um dispositivo separado na sua rede (como um Raspberry Pi) e apontar o DNS do roteador para ele.
Para verificar se o DoH está funcionando corretamente, existem alguns métodos. Uma forma simples é acessar https://1.1.1.1/help em um navegador de um dispositivo conectado à rede. O Cloudflare indicará se o DoH está sendo utilizado; embora possa mostrar "No" para o próprio serviço deles, o IP do resolvedor DNS deve ser o do seu roteador ou do seu servidor DoH. Uma verificação mais técnica envolve o uso do dig com suporte a DoH (disponível em versões mais recentes do BIND) para consultar diretamente o seu endpoint DoH, garantindo que ele esteja acessível e respondendo corretamente. O método mais definitivo é usar tcpdump na interface WAN do roteador para monitorar o tráfego na porta 53. Se, após a configuração do DoH, você ainda observar tráfego DNS em texto claro saindo para a internet, isso indica que algum dispositivo está contornando o roteador. Nesses casos, regras de firewall podem ser necessárias para redirecionar ou bloquear todo o tráfego DNS de saída para a porta 53, forçando o uso do DoH. Serviços como NextDNS também oferecem dashboards em tempo real que mostram o fluxo de requisições DNS, permitindo confirmar se tudo está operando como esperado.
É importante estar ciente de alguns "подводные камни" (armadilhas) ao configurar DoH. Certificados raiz CA desatualizados em roteadores mais antigos podem causar falhas na validação TLS; atualizações de pacotes de certificados ou importação manual de certificados raiz podem resolver isso. Em casos raros, ISPs podem bloquear a porta 443, exigindo o uso de portas alternativas ou DNS over TLS (DoT). Portais cativos em hotéis e cafés podem apresentar problemas, pois o redirecionamento para a página de login geralmente depende de manipulação DNS que o DoH pode impedir. Proteção contra DNS rebinding em firmwares como o OpenWRT pode bloquear o acesso a serviços locais se não for configurada corretamente para domínios específicos. Para redes de convidados, é recomendável configurar um perfil DoH separado para manter as estatísticas limpas. Finalmente, em cenários de CGNAT ou NAT duplo, o handshake TLS inicial pode apresentar latência elevada; o uso de TLS session resumption pode mitigar isso. Implementar DoH no roteador é um passo crucial para a privacidade moderna, transformando um protocolo vulnerável em um canal seguro e protegendo toda a sua rede.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
