У меня там DoH вообще нормально не работает. Я его долго ждал и раза три пробовал включать - всегда были какие-то вилы и в итоге выключал.

В итоге заколебало и поднял на сервере AdGuard (типа pihole, ускоритель плюс фильтр DNS, поддерживает все варианты DNS на входе и выходе), открыл внутри сети 53-й порт и ткнул Микротик просто в плейн. Так лучше всего.

Правда, пришлось через год таки настроить скрипт на проверку доступности и фоллбек на провайдеровский, если не, так как кошки всё же сумели сервер выключить когда не надо и всё встало раком.