Mikrotik doh server connection error idle timeout connecting

Frequent Visitor
hendra

Frequent Visitor
Frequent Visitor

Posts: 89
Joined: Wed Nov 22, 2017 2:21 am

DoH server connection error, idle time out connecting

Wed Jun 10, 2020 1:15 pm

sometimes «DoH server connection error, idle time out — connecting» after a few hour so i cant connect internet for 1-3 seconds. how to solve this thanks

You do not have the required permissions to view the files attached to this post.

Pea

Member Candidate
Member Candidate

Posts: 224
Joined: Fri Jul 17, 2015 11:07 pm
Location: Czech

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 2:28 pm

Probaly problem with your connection, but likely these short time errors you will not notice for normal use.

You can also do DoH verification: 

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=””
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

hendra

Frequent Visitor
Frequent Visitor

Topic Author

Posts: 89
Joined: Wed Nov 22, 2017 2:21 am

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 9:17 pm

how long we can use this certifcate ?

User avatar
eworm

Forum Guru
Forum Guru

Posts: 1000
Joined: Wed Oct 22, 2014 9:23 am
Location: Oberhausen, Germany
Contact:

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 9:29 pm

It expires nov/10/2031 02:00:00, that’s more than 595 weeks from now.

hendra

Frequent Visitor
Frequent Visitor

Topic Author

Posts: 89
Joined: Wed Nov 22, 2017 2:21 am

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 11:55 pm

how about this error

dns,error DoH server connection error: remote disconnected while in HTTP exchange

any solution ?

hendra

Frequent Visitor
Frequent Visitor

Topic Author

Posts: 89
Joined: Wed Nov 22, 2017 2:21 am

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 11:57 pm

It expires nov/10/2031 02:00:00, that’s more than 595 weeks from now.

thank you sir

benoitm974

just joined

Posts: 2
Joined: Fri Nov 13, 2020 10:38 pm

Re: DoH server connection error, idle time out connecting

Fri Nov 13, 2020 10:43 pm

After trying to setup DOH on 6.47 (stable) and testing firlware on hex, using opendns, clouflare and google dns i always experience the same behavior. (settings up proper static DNS for the doh server, then ensuring SSL root cert is added)

Setup works very well for 45 minutes to 1h30 and then no more resolution is done. I can reboot the hex and it works again, but after 45 min to 1h30 again it don’t work again.

Log show server time out, while I can access it via IP adress… flushing the DNS cache doesn’t help.

Benoit

dbarcot

just joined

Posts: 1
Joined: Sat Feb 03, 2018 11:07 pm

Re: DoH server connection error, idle time out connecting

Mon Dec 14, 2020 11:25 am

I’m experiencing same issue here and there and found post it may be due to low value of «max-concurrent-tcp-sessions». I just did rise to default 20 and will see if it helps

Last edited by dbarcot on Mon Dec 14, 2020 11:27 am, edited 1 time in total.

benoitm974

just joined

Posts: 2
Joined: Fri Nov 13, 2020 10:38 pm

Re: DoH server connection error, idle time out connecting

Wed Jan 06, 2021 5:06 am

Hi is there any update from Mikrotik on this stability issue with DOH ? I have the same here either using opendns cloudflare or Google DOH server, after around 1h queries timeout, restarting the router works but again 1h later same issue…

Note

Frequent Visitor
Frequent Visitor

Posts: 78
Joined: Fri Jun 03, 2016 12:39 pm

Re: DoH server connection error, idle time out connecting

Tue Feb 16, 2021 10:23 am

Same issue here. Not any fix yet?

DoH server connection error, idle time out connecting………..

homemark22

just joined

Posts: 1
Joined: Sat Nov 23, 2019 3:58 pm

Re: DoH server connection error, idle time out connecting

Sat Feb 27, 2021 5:34 pm

same here 15 line error log how it can be solve?

kato1

just joined

Posts: 1
Joined: Thu Mar 11, 2021 6:20 pm

Re: DoH server connection error, idle time out connecting

Thu Mar 11, 2021 6:35 pm

I’ve recently tried DoH feature and this error message appears from time to time depending on load.
If you enable logs for dns you can see something like that:

612 Mar/11/2021 18:18:42 memory dns, error DoH server connection error: Idle timeout — connecting
613 Mar/11/2021 18:18:42 memory dns done query: #16331 dns server failure

520 Mar/11/2021 18:18:37 memory dns query from 10.10.100.32: #16331 www.google.com. A

Just part of the queries fails. It stay so in any configuration: with google or cloudflare, with or w/o «Verify DoH Certificate», w/ and w/o static records for DoH servers etc.

After removing DoH server error logs disappear.
my fw is 6.48.1

greenchigo

just joined

Posts: 3
Joined: Sat Feb 02, 2019 6:17 pm

Re: DoH server connection error, idle time out connecting

Mon Jun 21, 2021 7:41 pm

Same issue. HEX S stable 6.48.3, or longterm 6.47.10. Reboot router resolve issue for a time about few hours, maybe less winbox stuck on «Logining…». Only reboot with power cycle can resolve.
RouterOS developers, please pay attention to this bug (stable and longterm branches). It’s kind of memory leak or something.

In log a lot of:

DoH server connection error: SSL: handshake timed out (6)
DoH server connection error: resolving error

l2tp connections with ipsec stop working and can’t reconnect without reboot with messages in log:
initiator can’t find identity for peer:

RoutoRooter

just joined

Posts: 5
Joined: Tue Sep 25, 2018 5:55 pm

Re: DoH server connection error, idle time out connecting

Sun Aug 01, 2021 5:52 pm

I can confirm the bug on my HAP AC, with or without certificate verification. The bug is also present in 6.49beta54 and 7.1beta6. It doesn’t appear it’s being addressed.

RoutoRooter

just joined

Posts: 5
Joined: Tue Sep 25, 2018 5:55 pm

Re: DoH server connection error, idle time out connecting

Wed Aug 04, 2021 11:15 pm

Just filled out a bug report.

RoutoRooter

just joined

Posts: 5
Joined: Tue Sep 25, 2018 5:55 pm

Re: DoH server connection error, idle time out connecting

Wed Sep 01, 2021 1:45 am

Figured out the problem. The “Syn Flood” rules in the firewall are picking up DoH as a flood attack and blocking all packets from whoever your DoH provider is. Disable the “syn” firewall rules and DoH will work.

iamsyaqib

just joined

Posts: 1
Joined: Sun Dec 17, 2017 1:32 pm

Re: DoH server connection error, idle time out connecting

Sun Sep 12, 2021 9:26 pm

Figured out the problem. The “Syn Flood” rules in the firewall are picking up DoH as a flood attack and blocking all packets from whoever your DoH provider is. Disable the “syn” firewall rules and DoH will work.

Hey, how do you disable the syn flood rule ? Do you create a new firewall rule or just simply disable an existing one, I didn’t find anything that says «Syn»…

User avatar
eworm

Forum Guru
Forum Guru

Posts: 1000
Joined: Wed Oct 22, 2014 9:23 am
Location: Oberhausen, Germany
Contact:

Re: DoH server connection error, idle time out connecting

Tue Sep 28, 2021 11:16 pm

There is a general ip setting:

/ip settings set tcp-syncookies=yes|no

No idea if that is what RoutoRooter referred…

Cyberurmel

just joined

Posts: 14
Joined: Fri Dec 29, 2017 12:59 pm

Re: DoH server connection error, idle time out connecting

Wed Oct 27, 2021 12:36 pm

Hi,

is i have the issue too…i set this to yes and will see if this has an impact. But not really shure if this is a risk for the own system?
What do you mean?

thanks
Regards
Cyb

jaxed8

Member Candidate
Member Candidate

Posts: 195
Joined: Tue Jul 27, 2021 8:25 pm

Re: DoH server connection error, idle time out connecting

Wed Oct 27, 2021 3:08 pm

Figured out the problem. The “Syn Flood” rules in the firewall are picking up DoH as a flood attack and blocking all packets from whoever your DoH provider is. Disable the “syn” firewall rules and DoH will work.

In my router settings /ip settings set tcp-syncookies=no is disable but still i got the same issue.
«DoH server connection error: SSL: handshake timed out (6)»

Источник

Содержание

  1. Mikrotik doh server connection error idle timeout waiting data
  2. Re: DoH server connection error, idle time out connecting
  3. Re: DoH server connection error, idle time out connecting
  4. Re: DoH server connection error, idle time out connecting
  5. Re: DoH server connection error, idle time out connecting
  6. Re: DoH server connection error, idle time out connecting
  7. Re: DoH server connection error, idle time out connecting
  8. Re: DoH server connection error, idle time out connecting
  9. Re: DoH server connection error, idle time out connecting
  10. Re: DoH server connection error, idle time out connecting
  11. Re: DoH server connection error, idle time out connecting
  12. Re: DoH server connection error, idle time out connecting
  13. Re: DoH server connection error, idle time out connecting
  14. Mikrotik doh server connection error idle timeout waiting data
  15. Mikrotik doh server connection error idle timeout waiting data
  16. Mikrotik doh server connection error idle timeout waiting data

Mikrotik doh server connection error idle timeout waiting data

Wed Jun 10, 2020 1:15 pm

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 2:28 pm

Probaly problem with your connection, but likely these short time errors you will not notice for normal use.

You can also do DoH verification:

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 9:17 pm

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 9:29 pm

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 11:55 pm

how about this error

dns,error DoH server connection error: remote disconnected while in HTTP exchange

Re: DoH server connection error, idle time out connecting

Wed Jun 10, 2020 11:57 pm

Re: DoH server connection error, idle time out connecting

Fri Nov 13, 2020 10:43 pm

After trying to setup DOH on 6.47 (stable) and testing firlware on hex, using opendns, clouflare and google dns i always experience the same behavior. (settings up proper static DNS for the doh server, then ensuring SSL root cert is added)

Setup works very well for 45 minutes to 1h30 and then no more resolution is done. I can reboot the hex and it works again, but after 45 min to 1h30 again it don’t work again.

Log show server time out, while I can access it via IP adress. flushing the DNS cache doesn’t help.

Re: DoH server connection error, idle time out connecting

Mon Dec 14, 2020 11:25 am

Re: DoH server connection error, idle time out connecting

Wed Jan 06, 2021 5:06 am

Re: DoH server connection error, idle time out connecting

Tue Feb 16, 2021 10:23 am

Same issue here. Not any fix yet?

DoH server connection error, idle time out connecting.

Re: DoH server connection error, idle time out connecting

Sat Feb 27, 2021 5:34 pm

Re: DoH server connection error, idle time out connecting

Thu Mar 11, 2021 6:35 pm

I’ve recently tried DoH feature and this error message appears from time to time depending on load.
If you enable logs for dns you can see something like that:

612 Mar/11/2021 18:18:42 memory dns, error DoH server connection error: Idle timeout — connecting
613 Mar/11/2021 18:18:42 memory dns done query: #16331 dns server failure
.
520 Mar/11/2021 18:18:37 memory dns query from 10.10.100.32: #16331 www.google.com. A

Just part of the queries fails. It stay so in any configuration: with google or cloudflare, with or w/o «Verify DoH Certificate», w/ and w/o static records for DoH servers etc.

After removing DoH server error logs disappear.
my fw is 6.48.1

Re: DoH server connection error, idle time out connecting

Mon Jun 21, 2021 7:41 pm

Same issue. HEX S stable 6.48.3, or longterm 6.47.10. Reboot router resolve issue for a time about few hours, maybe less winbox stuck on «Logining. «. Only reboot with power cycle can resolve.
RouterOS developers, please pay attention to this bug (stable and longterm branches). It’s kind of memory leak or something.

In log a lot of:

DoH server connection error: SSL: handshake timed out (6)
DoH server connection error: resolving error

l2tp connections with ipsec stop working and can’t reconnect without reboot with messages in log:
initiator can’t find identity for peer:

Источник

Mikrotik doh server connection error idle timeout waiting data

Маршрутизаторы MikroTik — Обсуждение

Старая программа для конфигурирования — Winbox winbox.exe ( 111.5 КБ )
Новая программа для конфигурирования — Winbox winbox3.exe ( 1.39 МБ )
Версия 3.18 (исправлена совместимость с прошивками 6.43): winbox318.exe ( 1.58 МБ )
Версия 3.19 (исправлен логин в 6.45): winbox.exe ( 1.59 МБ )

]*ssdp:(alive|byebye)|^m-search[9-D ]\*[9-D ]http/1\.1[9-D —

]*user-agent: gnucleus [9-D —

]* Accept: application/x-rtsp-tunnelled|http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [9-D —

Если вам требуется помощь в решении проблемы- выкладывайте свой конфиг: /export hide-sensitive terse

Сообщение отредактировал ferhad.necef — 03.01.23, 15:46

Smartecs, через L7 руки не дошли пока у самого на своём, но вроде как читал через webproxy можно, и вроде как: (где-то вычитал, почему-то запомнилось):
Cоздать разрешающее правило в котором ничего нет, кроме значения accept в action и просто разместить его перед/после правила, которое разрешает доступ.

У меня такая проблема на одном из встроенных в материнскую плату сетевых контроллеров. Так и не поборол, использую тот, который без проблем поднимает 100Мб.

Сообщение отредактировал Shoore — 03.12.14, 00:47

ToMaTo_0,
А после покупки делали полный сброс устройства, потом устанавливали свежую прошивку?

Добавлено 02.12.2014, 23:26:

Shoore,
Кстати думаю сообщения нужно перенести в тему указанную тобой.

ToMaTo_0,
Подключите роутер к другому ПК/ноуту/роутеру к чему нибудь где есть активный ethernet порт и посмотрите в статусе на сколько поднимется порт.
Интересует будет ли держать порт скорость 100/1000мб/с с другим устройством, не вашим ПК.
Также попробуйте на ПК «жестко» зажать порт на 100мб/с.

Сообщение отредактировал ctich — 03.12.14, 00:20

А можно уточнить расстояние «основного пачкорда» ??
Надеюсь не более 90м., и кабель обжат правильно.

Парни подскажите где туплю.
Необходимо доработать схему:
2 port tagged — vlan 55
3 port untagged — vlan 55
5 port tagged — vlan 55,56,57

Для vlan 56,57 создан bridge0 и с ними проблем нет.
Прописываю теперь 55 vlan.
Создаю vlan 55 указываю на interf 5
Создаю bridge 1
В bridge в port создаю приземляю vlan 55 на bridge 1
В bridge в port создаю eth 2 + bridge 1
В bridge в port создаю eth 5 + bridge 1
При такой схеме работает проблем нет, НО как только добавляю к eth 3 + bridge 1 . буквально через 8-15 пингов, канал ложится, с чем у меня вопрос, что не так ? o.O

ctich,
А третий порт у тебя нигде не больше не участвует?

Тут еще можно почитать

На момент тестирования нет, но время от времени он будет также активен, и поэтому должна быть полносвязность между тремя портами (2,3,5).
Может что то в фаерфолах надо подкрутить, завтра буду дальше мучить :scratch_one-s_head:
У меня в схеме ip адреса к вланам не привязаны (вернее не все), основная задача микротика — принять этот влан через аплинковый порт и просвичить на два других, и все ( на cisco, alcatel, huawei, zyxel, dlink как то проще, разрешил, прописал и забыл, а тут. ) .

update
возможно бред, но похоже нужно делать для порта 2+5 = bridge 1, 3+5 bridge 2. (по крайней мере на это натолкнула статья)

Сообщение отредактировал ctich — 03.12.14, 23:57

Источник

Mikrotik doh server connection error idle timeout waiting data

Маршрутизаторы MikroTik — Обсуждение

Старая программа для конфигурирования — Winbox winbox.exe ( 111.5 КБ )
Новая программа для конфигурирования — Winbox winbox3.exe ( 1.39 МБ )
Версия 3.18 (исправлена совместимость с прошивками 6.43): winbox318.exe ( 1.58 МБ )
Версия 3.19 (исправлен логин в 6.45): winbox.exe ( 1.59 МБ )

]*ssdp:(alive|byebye)|^m-search[9-D ]\*[9-D ]http/1\.1[9-D —

]*user-agent: gnucleus [9-D —

]* Accept: application/x-rtsp-tunnelled|http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [9-D —

Если вам требуется помощь в решении проблемы- выкладывайте свой конфиг: /export hide-sensitive terse

Сообщение отредактировал ferhad.necef — 03.01.23, 15:46

Smartecs, через L7 руки не дошли пока у самого на своём, но вроде как читал через webproxy можно, и вроде как: (где-то вычитал, почему-то запомнилось):
Cоздать разрешающее правило в котором ничего нет, кроме значения accept в action и просто разместить его перед/после правила, которое разрешает доступ.

У меня такая проблема на одном из встроенных в материнскую плату сетевых контроллеров. Так и не поборол, использую тот, который без проблем поднимает 100Мб.

Сообщение отредактировал Shoore — 03.12.14, 00:47

ToMaTo_0,
А после покупки делали полный сброс устройства, потом устанавливали свежую прошивку?

Добавлено 02.12.2014, 23:26:

Shoore,
Кстати думаю сообщения нужно перенести в тему указанную тобой.

ToMaTo_0,
Подключите роутер к другому ПК/ноуту/роутеру к чему нибудь где есть активный ethernet порт и посмотрите в статусе на сколько поднимется порт.
Интересует будет ли держать порт скорость 100/1000мб/с с другим устройством, не вашим ПК.
Также попробуйте на ПК «жестко» зажать порт на 100мб/с.

Сообщение отредактировал ctich — 03.12.14, 00:20

А можно уточнить расстояние «основного пачкорда» ??
Надеюсь не более 90м., и кабель обжат правильно.

Парни подскажите где туплю.
Необходимо доработать схему:
2 port tagged — vlan 55
3 port untagged — vlan 55
5 port tagged — vlan 55,56,57

Для vlan 56,57 создан bridge0 и с ними проблем нет.
Прописываю теперь 55 vlan.
Создаю vlan 55 указываю на interf 5
Создаю bridge 1
В bridge в port создаю приземляю vlan 55 на bridge 1
В bridge в port создаю eth 2 + bridge 1
В bridge в port создаю eth 5 + bridge 1
При такой схеме работает проблем нет, НО как только добавляю к eth 3 + bridge 1 . буквально через 8-15 пингов, канал ложится, с чем у меня вопрос, что не так ? o.O

ctich,
А третий порт у тебя нигде не больше не участвует?

Тут еще можно почитать

На момент тестирования нет, но время от времени он будет также активен, и поэтому должна быть полносвязность между тремя портами (2,3,5).
Может что то в фаерфолах надо подкрутить, завтра буду дальше мучить :scratch_one-s_head:
У меня в схеме ip адреса к вланам не привязаны (вернее не все), основная задача микротика — принять этот влан через аплинковый порт и просвичить на два других, и все ( на cisco, alcatel, huawei, zyxel, dlink как то проще, разрешил, прописал и забыл, а тут. ) .

update
возможно бред, но похоже нужно делать для порта 2+5 = bridge 1, 3+5 bridge 2. (по крайней мере на это натолкнула статья)

Сообщение отредактировал ctich — 03.12.14, 23:57

Источник

Mikrotik doh server connection error idle timeout waiting data

Tue Aug 25, 2020 5:23 am

Hello, i don’t know if this should be in Beginner Basics or General but one thing for sure is that i’m new to networking in general so bear with me, (the model i have is hAP ac^2 with default configuration, updated to v6.47.2)

So, i’m trying to get DoH working to avoid ISP from manipulating My DNS requests but even after doing what normis said in here viewtopic.php?t=160243
i keep getting filtered/redirected to ISP’s website full of ads its as if my DNS request have been looked at and modified yet they managed to bypass the DoH Cert verification.. (the website i’m trying to connect is https)

I’ve tried to delete all certification and import the certification again,
I’ve tried to create firewall nat by using something called dstnat in case ISP intercepting port 53 UDP to port other than 53 to OpenDNS port 443 (this is not something i found on mikrotik forum so i’m not sure if this even works),
and i also tried flushing DNS cache both in RouterOS and Windows every time i change something in RouterOS but to no avail..

I’m very confused right now, how can this happen? isn’t the point of DNS-over-HTTPS is to make sure theres no Man-in-the-middle? i tried to look at Torch but i have no idea whats going on there even after i look only the IP that is currently used by My Computer, i need pointers on how to identify the problem with DoH (i don’t know how to check if DoH is actually working)

Источник

Источник

nifyecusp

Сообщения: 3
Зарегистрирован: 12 фев 2021, 13:31

У кого-то работает DoH с включенными опциями Verify DoH Certificate И (это важно!) с включенными опциями CRL Download и Use CRL в System -> Certificates? Пробовал сервера Cloudflare и Google. В логах ошибка «DoH server connection error: SSL: handshake failed: unable to get certificate CRL (6)» Если у вас все работает без ошибок — можете подсказать какие сертификаты вы ставили и что у вас в списке System -> Certificates -> CRL?

Код: Выделить всё

certificate print detail

1  L    T name="cloudf.pem_0" issuer=C=US,O=DigiCert Inc,OU=www.digicert.com,CN=DigiCert Global Root CA digest-algorithm=sha384 key-type=ec country="US" 
           organization="DigiCert Inc" common-name="DigiCert TLS Hybrid ECC SHA384 2020 CA1" key-size=secp384r1 subject-alt-name="" days-valid=3651 trusted=yes 
           key-usage=digital-signature,key-cert-sign,crl-sign,tls-server,tls-client serial-number="0A275FE704D6EECB23D5CD5B4B1A4E04" 
           fingerprint="d79a2d5e03295c0e9feae36d021ebd5209700ab1a9e817a43f30fa3c66f78d21" akid=03de503556d14cbb66f0a3e21b1bc397b23dd155 
           skid=0abc0829178ca5396d7a0ece33c72eb3edfbc37a invalid-before=sep/23/2020 06:00:00 invalid-after=sep/23/2030 05:59:59 expires-after=501w2d13h22m2s 

2       T name="cloudf.pem_1" issuer=C=US,O=DigiCert Inc,OU=www.digicert.com,CN=DigiCert Global Root CA digest-algorithm=sha1 key-type=rsa country="US" 
           organization="DigiCert Inc" unit="www.digicert.com" common-name="DigiCert Global Root CA" key-size=2048 subject-alt-name="" days-valid=9131 
           trusted=yes key-usage=digital-signature,key-cert-sign,crl-sign serial-number="083BE056904246B1A1756AC95991C74A" 
           fingerprint="4348a0e9444c78cb265e058d5e8944b4d84f9662bd26db257f8934a443c70161" akid=03de503556d14cbb66f0a3e21b1bc397b23dd155 
           skid=03de503556d14cbb66f0a3e21b1bc397b23dd155 invalid-before=nov/10/2006 06:00:00 invalid-after=nov/10/2031 06:00:00 expires-after=560w2d13h22m3s 

3  L    T name="GSR2.crt_0" issuer=OU=GlobalSign Root CA - R2,O=GlobalSign,CN=GlobalSign digest-algorithm=sha1 key-type=rsa organization="GlobalSign" 
           unit="GlobalSign Root CA - R2" common-name="GlobalSign" key-size=2048 subject-alt-name="" days-valid=5479 trusted=yes 
           key-usage=key-cert-sign,crl-sign serial-number="0400000000010F8626E60D" 
           fingerprint="ca42dd41745fd0b81eb902362cf9d8bf719da1bd1b1efc946f5b4c99f42c1b9e" akid=9be20757671c1ec06a06de59b49a2ddfdc19862e 
           skid=9be20757671c1ec06a06de59b49a2ddfdc19862e invalid-before=dec/15/2006 14:00:00 invalid-after=dec/15/2021 14:00:00 expires-after=43w4d21h22m3s

ROS 6.47.9

KaNelam

Сообщения: 589
Зарегистрирован: 11 июл 2017, 13:03

nifyecusp

Сообщения: 3
Зарегистрирован: 12 фев 2021, 13:31

12 фев 2021, 15:16

DoH server connection error: SSL: handshake failed: unable to get certificate CRL (6)

gmx

Модератор
Сообщения: 3054
Зарегистрирован: 01 окт 2012, 14:48

12 фев 2021, 15:50

Попробовал.

С включенными CRL Download и Use CRL в System -> Certificates не работает.
Пишет ошибку DoH server connection error: SSL: handshake failed: unable to get certificate CRL (6)

Если опции отключить, то все работает.

Наверное, лучше в техподдержку микротика написать…

nifyecusp

Сообщения: 3
Зарегистрирован: 12 фев 2021, 13:31

12 фев 2021, 16:17

В поддержке говорят
The server certificate has additional CRL in itself which is not installed in RouterOS CRL list. Currently you can disable the CRL usage as stated before or try to figure out what CRL’s are required for the specific server and add them manually.
Как и где искать не говорят.

Igor.Govor

Сообщения: 2
Зарегистрирован: 11 мар 2021, 16:59

11 мар 2021, 17:34

В общем у меня по сути та же проблема где-то с февраля 2020(в апреле вообще жесткий DDos на мои системы был(воевал по этому поводу очень серьезно с обращением в МВД и Роскомнадзор) Билайн тогда меня вообще отфутболил как не своего клиента(до сих пор тишина, что наводит на мысль о том, что это чудят мвдшные железки которые на анализе трафика висят), поставил в апреле 2020 https://1.1.1.1/dns-query с проверкой сертификата (но параметры CLR не отмечал!), сертификат брал отсюда https://cacerts.digicert.com/DigiCertGl … CA.crt.pem и всё работало отлично примерно до сентября 2020 (пошли небольшие провалы при подключении к Cloudflare) а с 06.03.2021 вообще трэш начался, звоню провайдеру, уверяют что все в порядке(на скринах видно что потери идут на шлюзе у провайдера, а они пытаются меня уверить что это мое железо глючит). ИМХО: В общем попробую сейчас включить CLR, но дело тут явно в том что очень многим не нравится что они больше не видят что, откуда и в каком объеме проходит через сеть пользователя интернет.
P.S. Были жалобы на Акадо(соседка ко мне обращалась за помощью, у неё сайт не открывался (реально было ошибочное присвоение имя адрес со стороны Акадовских DNS) по поводу работы их DNS, но там вообще можно даже не звонить а самостоятельно DNS в настройках поменять и забыть про них как про страшный сон. А вот с использованием DoH, DoT, DoQ(DNS over QUIC(еще более прикольная штука)) полагаю кто-то явно борется(Посмотрите публикации по поводу законопроекта запрещающего использование данных протоколов передачи и попытка внесения изменения в 149-ФЗ с сентября 2020 года!!!). С показателями производительности крупнейших DNS серверов можно ознакомиться на этом сайте: https://www.dnsperf.com/#!dns-resolvers,Europe,uptime В общем всем удачи и хорошего коннекта.

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

gmx

Модератор
Сообщения: 3054
Зарегистрирован: 01 окт 2012, 14:48

12 мар 2021, 09:23

По поводу борьбы, кстати, светлая мысль. Очень даже может быть. Тоже начались проблемы и именно с 1.1.1.1 Но….

попробуйте настроить DoH на Гугол. Мне помогло, работает, почти как часы. Есть подозрение, что именно к 1.1.1.1 запросы пытаются банить.

denis1978

Сообщения: 56
Зарегистрирован: 06 июн 2020, 09:52

12 мар 2021, 09:36

gmx писал(а): ↑

12 мар 2021, 09:23


По поводу борьбы, кстати, светлая мысль. Очень даже может быть. Тоже начались проблемы и именно с 1.1.1.1 Но….

попробуйте настроить DoH на Гугол. Мне помогло, работает, почти как часы. Есть подозрение, что именно к 1.1.1.1 запросы пытаются банить.

А ещё лучше заведите в сети малинку, а на нее поставьте PiHole, будет Вам и DOH и резалка мусора и ещё много плюшек в одном флаконе.
Работает на самом деле как часы, не напрягая микрот.

Источник

Сегодня рассмотрим интересное решение — это настройку DoH на роутере Mikrotik (другими словами DNS over HTTPS). В одной из предыдущих статей, мы вам рассказывали, как настроить DNS сервер возьмём ее за основу и немного докрутим.

DoH – это технология которая позволяет шифровать ваши запросы с помощью TLS. Был придуман для защиты запросов от анализа или вскрытия, а также подмены результатов запроса. Обычный DNS ничем не защищён и передаёт данные в открытом виде. Запросы отправляются по UDP на 53 порт. В DoH немного по-другому, т.к. тут есть TLS и HTTP, то по сути своей это TCP на 443 порт, т.к. тут есть TCP, то работы данного протокола, в разы медленно чем у прародителя. Конечно, его тоже можно вскрыть при желании, но для этого нужна прокся со вскрытием TLS, что накладывает определённые технические нюансы и ресурсы.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

В использовании данной технологии есть клиент и сервер. Так вот, клиентская часть реализована в RouterOS с версии 6.47. Mikrotik не может быть DoH сервером.

Настройка DoH

Перед включением необходимо определиться, какой сервис вы будите использовать. На сегодняшний день их достаточно и выбрать есть из чего, так же вы может быть захотите свой сервер поднять. Из общедоступных есть следующие:

  • OpenDNS — https://doh.opendns.com/dns-query
  • Quad9  — https://dns.quad9.net/dns-query
  • Cloudflare — https://cloudflare-dns.com/dns-query
  • Google Public — https://dns.google/dns-query

В примере я буду использовать проверенный временем Cloudflare. Они обещают не передавать аналитику третьим лица.

Открываем IP – DNS и вставляем строку резолвера в Use DoH Server

Настройка DNS over HTTPS

Обязательно ставим галочку Verify DoH Certificate.

Обратите внимание на адреса в Servers. Это классические вышестоящие резолверы имен. Их убирать не нужно. Потому что Mikrotik не будет знать, какой IP соответствует cloudflare-dns.com. Да, это нюанс, про который нельзя забывать.

Попробуем проверить работу по новой технологии через nslookup.

Не работает DoH на Mikrotik

В примере выше, я попытался разрешить имя google.com через Mikrotik. Как мы видим, ничего не вышло и в логах ошибка: DoH server connection error: SSL : handshake failed….

Так же видно, что в кэше тоже ничего нет. В чем может быть причина? Правильно в сертификате!

Импорт сертификатов

RouterOS ничего не знает о сертификате Cloudflare и о других, т.к. в него не импортированы корневые публичные ключи глобальных CA и по этому он не может выстроить доверие. Допустим в ОС Windows они уже идут в составе и добавляются / удаляются с обновлениями.

Прежде чем импортировать корневой CA вам нужно понять, кем был выпущен сертификат для одного из сервис-провайдеров. Допустим, для моего примера выпустил DigiCert.

Качаем сертификат CA на микротик

Качаем его публичную часть по этой ссылке. Делаем его Upload на девайс, после в System – Certificates импортируем.

Добавление корневого сертификата в домеренные на RouterOS

Проверим снова разрешение имён

Проверка работы DoH

Теперь все отлично. Как вы видите, ничего сложного нет, выбираем сервис, который вам больше нравится, прописываем его в настройках и импортируем CA того, кто выпустил вашему сервису сертификат, и все на этом настройка DoH на MikroTik завершена.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Источник

Am best has affirmed the financial strength rating of b (fair) and the long-term issuer credit rating of “bb” of ncb insurance company limited (ncb) (jamaica). the outlook of these credit ratings (ratings) is negative. “doh server connection error: idle timeout waiting data” & “doh server connection error: remote disconnected while in http exchange” what we do blog support cloudflare’s doh request is being rejected/dropped when request is sent from a mikrotik routeros device. List of insurance companies in jamaica. spin provides maximum protection against cell phone radiation, smart meter and wifi radiation.

Doh Mikrotik Error

10 Of The Best Reviewed Homeowners Insurance Companies

Sagicor Group Jamaica Ltd Sj

Am Best Withdraws Credit Ratings Of Ncb Insurance Company Limited

Finally doh! : mikrotik.

Yeah its work but, how about configuration inside nextdns link over https? i test it and mikrotik log always says “doh server connection error, resolving doh mikrotik error error. “, about 1 minutes after apply dns. just test it with your config inside nextdns. and see what wrong with that. Getting homeowners insurance is one of the most important things to do when buying a home. getting the right insurance plan can protect you from floods, storm damage and even vandalism. financial experts say that home insurance is the most. Genac tt is bolstered through its parent-company general accident jamaica limited’s near 100-year history in the insurance sector. genac (jamaica), which is a member of the musson group, owns 65 per cent of genac tt. motor one had over 20,000 direct motor insurance policies and a large branch network.

Doh server connection error, idle time out connecting wed jun 10, 2020 11:15 am sometimes «doh server connection error, idle time out connecting» after a few hour so i cant connect internet for 1-3 seconds. how to solve this thanks. Whether you’re in the market for home, life, health or auto insurance, the multitude of companies and its many options can make your head spin. this article will break down the background, history, and insurance offerings of four of the lar. 28 jul 2020 i had problem almost everyday, is the the mikrotik org the server i am connecting to?. the error i get vary, sometimes “doh max concurrent queries.

Easy and convenient online payment options with flexible payment plans. 17 may 2020 error messages & troubleshooting this error is a result of not having root certificates installed to validate the https certificate of the dns server .

Insurance companies in kingston. 8 insurance companies found in kingston. sort by. best match. view. closed now. sponsored ad. gk general insurance co ltd. british caribbean ins co ltd. gk general insurance co ltd. iibre. 60 knutsford boulevard kingston insurance companies. There are many well known insurance companies, such as aflac and state farm. when looking for the right insurance company to suit your needs, you will have to sift through different insurance companies until you find the one with the right.

Key insurance company limited the key to your peace of mind. 6c half way tree rd kingston 5 + (876) 926-6278 monday friday 08:00am ~ 05:00pm saturdays 10:00am ~ 04:00pm. start planning your future. get a quote now. Day june 10, 2020, 6:50am. 1. log mikrotik. doh server doh mikrotik error connection error: idle timeout connecting. Flood insurance is an area of insurance that is all too easy to neglect until it is too late. new jersey and the surrounding states experience a fair amount of flooding during hurricane season. this makes it necessary for all homeowners and.

Mikrotik Tutorial How To Enable Dns Over Https Doh Jcutrer Com

There is no one analyst in which a quantitative star rating and fair value estimate is attributed to; however, mr. lee davidson, head of quantitative research for morningstar, doh mikrotik error inc. is responsible. Mikrotik has new feature on routeros 6. 47, this version can support dns over https ( doh ). to use this feature follow the following steps : but first, make sure you have updated your mikrotik to version 6. 47. 54 votes, 56 comments. 13. 6k members in the mikrotik community. a community-contributed subreddit for all things mikrotik. general wisp and network.

Jn general insurance company limited (jngi), formerly nem insurance, is the longest established of all general insurance companies operating in jamaica. the tradition of excellence dates back to its foundation in 1934. jngi is a member of the jamaica national group, which emerged from the 14 decade heritage of the jamaica national building society. Jn general insurance company limited (jngi), formerly nem insurance, is the longest established of all general insurance companies operating in jamaica. the tradition of excellence dates back to its foundation in 1934. jngi is a member of the jamaica doh mikrotik error national group, which emerged from the 14 decade heritage of the jamaica national building society. Insurance is one of the most crucial things to have. having insurance can protect you and your family from surprises that could make you broke. because of this, everyone should have insurance. however, many people can be confused by the dif. Our furry friends aren’t just, well, friends. they’re our furry family members. we cherish them as entertaining companions, and we love them deeply for the joy they bring to our lives. it only makes sense, then, that we want to provide the.

Insurance Companies In Jamaica Workandjam

Sagicor life jamaica has hailed the deal it struck with the agriculture ministry to provide life and health insurance for registered farmers and fishers. agriculture minister floyd green announced the agreement in parliament tuesday evening. When it comes to home safety, your home insurance is often your biggest line of defense if something catastrophic happens. for this reason, you want to purchase it from a reputable company that’ll take care of you when you do encounter some.

Key insurance company provides to the jamaican public, insurance protection against most risks to property for private individual as well as commercial establishments. more detail key insurance company limited recognize the contribution that public passenger vehicles make to jamaica, whether you own and drive your ppv vehicle or you own and. Gk insurance (eastern caribbean) limited. address: 1st floor financial centre building, bridge street, castries st. lucia, w. i. telephone:(758) doh mikrotik error 451 3244 fax: (758) 458 1222 contact us.

Gk general insurance co ltd (gki) was born out of the insurance agency operations of grace, kennedy & company and commenced writing business on september 1, 1981. as a wholly-owned subsidiary of gracekennedy limited, gki has embraced the parent company’s values of honesty, integrity and trust.

Find 8 insurance companies in kingston. get contact details, reviews, and more. See more videos for insurance companies jamaica.

Источник

Понравилась статья? Поделить с друзьями:
  • Mid136 sid9 fmi14 вольво ошибка
  • Mid136 sid7 fmi14 ошибка
  • Mid136 sid67 fmi14 ошибка вольво
  • Mid130 psid27 fmi8 ошибка volvo fh
  • Mid128 ppid124 fmi5 ошибка