A partir de las ultimas versiones de RouterOS, ya viene la posibilidad de habilitar los DNS seguros o mejor dicho DoH (DNS over HTTPS). De esta manera se terminan los ataques de envenenamiento tu tabla cache de DNS o de algun tipo de manipulacion como se suelen hacer con ataques de paquetes interceptados o «Man in the middle».
Para usarlos, tu proveedor de DNS tiene que tener la posiblidad de utilizar DNS de este tipo. Les dejo los comandos para los DNS de Cloudflare.
Si estas usando DNS para hacer filtros por DNS en tu red, (como los de OpenDNS) en ese caso tene en cuenta que los filtros te van a dejar de funcionar. A no ser que OpenDNS adopte DoH (por el momento lo desconozco).
Estos son los comandos para el setup:
/ip dns set servers=1.1.1.1,1.0.0.1
/system ntp client set enabled=yes server-dns-names=time.cloudflare.com
/tool fetch url=https://curl.haxx.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=""
Y para los que usamos los DNS de Google, cómo sería?
Como el DNS por HTTPS es una caracteristica muy nueva, aun les falta pulir muchas cosas. En el foro oficial hay una controversia bastante grande por esto, y hasta algunos reportan que de un dia para otro les dejo de funcionar. Estoy seguro que van a salir varios updates con correcciones. Con respecto a google, tambien es una pregunta muy frecuente y vi varias soluciones haciendo Curl al DNS de google y soluciones de ese estilo que para mi gusto son demasiado rebuscadas y no valen la pena. Esto se va a ir normalizando con el tiempo ya que los DNSs son tambien relativamente nuevos.