XDA pasó la semana documentando cómo dar a Claude control total de un servidor DNS enseñó al autor más que años de documentación. El artículo es más divertido de lo que el titular sugiere, pero el punto de fondo es real. Un servidor DNS autohospedado es una de las actualizaciones de mayor apalancamiento que una red doméstica puede obtener, y las aplicaciones que lo hacen posible han madurado mucho más allá del punto de “Pi-hole o nada”. La opción no es qué herramienta bloquea anuncios; es qué herramienta te da la mezcla adecuada de filtrado, almacenamiento en caché, encriptación y visibilidad para el tipo de red que realmente ejecutas.
Probamos 8 de las mejores aplicaciones para DNS autohospedado en una Raspberry Pi, una mini PC Intel ejecutando Linux y un servidor Windows en una pequeña oficina. La mezcla de benchmark era lo aburrido: tiempo de configuración, gestión de listas negras, DNS-over-TLS o DNS-over-HTTPS ascendente, registro de consultas y qué hace cada herramienta cuando algo se rompe a las 2 de la mañana.
Qué buscar en un servidor DNS autohospedado
Seis criterios separan las herramientas de uso diario de los experimentos:
- Gestión de listas negras. El punto completo. Las herramientas que actualizan automáticamente listas y te permiten mantener listas blancas por cliente ganan.
- Recursivo vs reenvío. Un solucionador recursivo (Unbound, BIND) habla directamente con servidores raíz. Un reenviador entrega a un solucionador público. El primero es más privado, el segundo es más rápido en consultas en frío.
- Encriptación ascendente. DNS-over-TLS y DNS-over-HTTPS mantienen tus consultas opacas al ISP. No todas las herramientas lo hacen.
- Política por cliente. Diferentes reglas para la tableta de los niños y la oficina en casa importa más de lo que la gente espera.
- Registro y paneles. Un panel que muestra qué se bloquea es lo que convence al resto del hogar.
- Conmutación por error. Un DNS doméstico que se rompe lleva internet con él. El comportamiento de conmutación por error y la facilidad de ejecutar una instancia secundaria importan.
Comparación rápida
| Aplicación | Mejor para | Tipo | Opción gratuita | Característica destacada |
|---|---|---|---|---|
| Pi-hole | DNS doméstico predeterminado con panel pulido | Solucionador de reenvío | Sí (código abierto) | Comunidad más grande y más listas negras de terceros |
| AdGuard Home | Alternativa pulida a Pi-hole | Solucionador de reenvío | Sí (código abierto) | Política por cliente en la interfaz predeterminada |
| Technitium DNS | Autoritativo y recursivo en una aplicación | Recursivo + autoritativo | Sí (código abierto) | Aloja tus propias zonas internas con claridad |
| Blocky | Filtro DNS de binario único ligero | Solucionador de reenvío | Sí (código abierto) | Fácil de desplegar en contenedores y editar por YAML |
| Unbound | Solucionador recursivo puro | Solucionador recursivo | Sí (código abierto) | Solucionador recursivo mejor en su clase que respeta la privacidad |
| dnsmasq | DNS ligero, DHCP y TFTP para una LAN pequeña | Reenviador de caché | Sí (código abierto) | Solucionador de clase router clásico “suficientemente bueno” |
| BIND9 | DNS autoritativo de grado de producción | Autoritativo + recursivo | Sí (código abierto) | Implementación de referencia para cargas de trabajo serias |
| dnscrypt-proxy | Capa de encriptación delante de cualquier solucionador | Proxy de encriptación DNS | Sí (código abierto) | Agrega DoH y DoT a cualquier cosa que no lo soporte |
Las 8 mejores aplicaciones para DNS autohospedado en escritorio
1. Pi-hole — mejor predeterminado para DNS doméstico
Pi-hole es la aplicación en la que aterrizan la mayoría de las redes domésticas. El script de instalación se ejecuta en una Raspberry Pi, una VM Linux o en un contenedor, y en diez minutos la red tiene un panel que muestra cada rastreador bloqueado. El ecosistema de listas negras es el más grande de la categoría, con listas curadas por la comunidad para casi todas las clases de dispositivos. La gestión de grupos te permite crear una política para la tableta de los niños que difiera de la oficina.
Dónde se queda corto: La política por cliente es funcional pero no tan fluida como la de AdGuard Home. El diseño de la interfaz web está anticuado en comparación con la competencia pulida. La encriptación DNS ascendente necesita un sidecar como dnscrypt-proxy o Cloudflared.
Precio:
- Gratuito: código abierto
- Pagado: ninguno
Plataformas: Linux (preferido), Raspberry Pi, se ejecuta en Docker en Windows y macOS
Descargar: pi-hole.net
Resumen: Elige Pi-hole para DNS autohospedado si quieres lo predeterminado con la comunidad más grande y la configuración más documentada.
2. AdGuard Home — mejor alternativa pulida a Pi-hole
AdGuard Home hace lo mismo que Pi-hole con una interfaz más suave y política por cliente en la instalación predeterminada. DNS-over-TLS, DNS-over-HTTPS y DNSCrypt ascendentes están integrados. El panel es más fácil de leer de un vistazo, y la interfaz de gestión de listas negras es más amigable para nuevos usuarios.
Dónde se queda corto: La comunidad es más pequeña que la de Pi-hole, lo que a veces significa que un tutorial que encuentres es para Pi-hole y lo traduces. El mercado de listas negras es bueno pero más pequeño.
Precio:
- Gratuito: código abierto
- Pagado: ninguno (los servicios AdGuard VPN y DNS separados se venden por la misma empresa)
Plataformas: Linux, Windows, macOS, se ejecuta en Docker en cualquier lugar
Descargar: adguard.com/en/adguard-home
Resumen: Elige AdGuard Home para DNS autohospedado si quieres una interfaz pulida y encriptación integrada sin instalar una segunda herramienta.
3. Technitium DNS — mejor para autoritativo más recursivo en una aplicación
Technitium DNS es la opción para usuarios que quieren una red doméstica que aloje sus propias zonas internas y resuelva consultas salientes en la misma aplicación. Nombres de host locales, certificados SSL internos y DNS split-horizon funcionan sin tres piezas de software. La interfaz web es limpia. La aplicación se ejecuta en Windows o Linux y se envía como una única aplicación .NET.
Dónde se queda corto: Comunidad más pequeña que Pi-hole. Algunos filtros avanzados requieren reglas personalizadas en lugar de un mercado curado.
Precio:
- Gratuito: código abierto
- Pagado: ninguno
Plataformas: Windows, Linux, macOS (mediante runtime .NET), Docker
Descargar: technitium.com/dns
Resumen: Elige Technitium DNS para DNS autohospedado si también necesitas DNS autoritativo para una zona interna y no quieres una segunda herramienta.
4. Blocky — mejor DNS ligero amigable con contenedores
Blocky es un único binario Go que se ejecuta como un servidor DNS de filtrado, configurado por un pequeño archivo YAML. Es la herramienta más simple en esta lista para desplegar en un stack de contenedores junto a otros servicios. Fuentes de listas negras, redirecciones personalizadas y política por cliente todos viven en un archivo que puedes poner bajo control de versiones. La exportación de métricas es Prometheus-nativa, que se ajusta a los laboratorios domésticos que ya ejecutan Grafana.
Dónde se queda corto: Sin interfaz web propia. Obtienes un panel Prometheus, no una vista de consultas estilo Pi-hole.
Precio:
- Gratuito: código abierto
- Pagado: ninguno
Plataformas: Linux, Windows, macOS, Docker
Descargar: github.com/0xERR0R/blocky
Resumen: Elige Blocky para DNS autohospedado si vives en contenedores, controlas la versión de tu config y quieres una huella pequeña.
5. Unbound — mejor solucionador recursivo
Unbound es un solucionador recursivo puro. Habla directamente con servidores raíz, valida DNSSEC por defecto y no reenvía nada a un solucionador público ascendente. Los usuarios de Pi-hole frecuentemente instalan Unbound detrás de Pi-hole exactamente por esto: filtrado en Pi-hole, recursión en Unbound. La combinación elimina completamente la dependencia de Cloudflare, Google o Quad9.
Dónde se queda corto: Sin soporte de listas negras propias. Hace un trabajo y lo hace bien; el filtrado es responsabilidad de lo que esté delante.
Precio:
- Gratuito: código abierto
- Pagado: ninguno
Plataformas: Linux, Windows, macOS
Descargar: nlnetlabs.nl/projects/unbound
Resumen: Elige Unbound para DNS autohospedado si quieres recursión completa sin confiar en un solucionador público, y estás contento de emparejarlo con un front-end de filtrado.
6. dnsmasq — mejor solucionador ligero para una LAN pequeña
dnsmasq es el solucionador que viene en el firmware de la mayoría de los routers domésticos, y funciona igual de bien como un servidor DNS plus DHCP pequeño-LAN en una Raspberry Pi. La sintaxis de configuración es concisa pero estable, el uso de recursos es diminuto, y ha sido la columna vertebral aburrida de las redes domésticas durante dos décadas. Para una LAN pequeña que necesita DNS y DHCP del mismo cuadro sin panel, esta es la respuesta correcta.
Dónde se queda corto: Sin mercado de listas negras. Sin interfaz. Registro vía syslog.
Precio:
- Gratuito: código abierto
- Pagado: ninguno
Plataformas: Linux, BSD
Descargar: thekelleys.org.uk/dnsmasq
Resumen: Elige dnsmasq para DNS autohospedado si quieres el solucionador más ligero posible más DHCP, sin interfaz, sin sorpresas.
7. BIND9 — mejor DNS de grado de producción
BIND9 es el servidor DNS de referencia y la opción elegida cuando el tiempo de actividad no es negociable. La sintaxis de configuración es intimidante, el historial del proyecto es largo, y la documentación asume que tomas el DNS en serio. Para un laboratorio doméstico que también sirve como entorno de aprendizaje para habilidades de producción, BIND es la herramienta correcta.
Dónde se queda corto: Curva de aprendizaje pronunciada. Sin interfaz de listas negras. Excesivo para la mayoría de las redes domésticas.
Precio:
- Gratuito: código abierto
- Pagado: contratos de soporte opcionales de ISC
Plataformas: Linux, BSD, Windows
Descargar: isc.org/bind
Resumen: Elige BIND9 para DNS autohospedado si quieres herramientas de grado de producción en casa y estás usando el laboratorio doméstico para aprender habilidades que usarás en el trabajo.
8. dnscrypt-proxy — mejor capa de encriptación para cualquier solucionador
dnscrypt-proxy no es un filtro ni un solucionador recursivo. Se sienta delante de lo que ejecutes y agrega soporte DNS-over-HTTPS, DNS-over-TLS y DNSCrypt. Para Pi-hole, dnsmasq o cualquier otra herramienta que no hable DNS encriptado ascendente nativamente, esta es la forma más fácil de agregarlo.
Dónde se queda corto: Agrega otra parte móvil al stack. Configuración vía TOML.
Precio:
- Gratuito: código abierto
- Pagado: ninguno
Plataformas: Linux, Windows, macOS, BSD
Descargar: github.com/DNSCrypt/dnscrypt-proxy
Resumen: Elige dnscrypt-proxy para DNS autohospedado si tienes una herramienta de filtrado que te gusta y quieres agregar DoH o DoT ascendente sin cambiarla.
Cómo elegir el correcto
Si quieres lo predeterminado y la comunidad más grande, ejecuta Pi-hole.
Si quieres política por cliente en la interfaz predeterminada y encriptación ascendente integrada, ejecuta AdGuard Home.
Si también necesitas DNS autoritativo para una zona interna, ejecuta Technitium DNS.
Si vives en contenedores y controlas la versión de tu config, ejecuta Blocky.
Si quieres resolución recursiva verdadera en lugar de reenvío, ejecuta Unbound detrás de cualquier herramienta de filtrado que elijas.
Si quieres el solucionador más ligero posible más DHCP en una LAN pequeña, ejecuta dnsmasq.
Si quieres DNS de grado de producción como un proyecto de laboratorio doméstico, ejecuta BIND9.
Si quieres agregar DNS ascendente encriptado a cualquiera de los anteriores, agrega dnscrypt-proxy.
La configuración doméstica más fuerte que probamos fue Pi-hole o AdGuard Home para el panel y filtrado, Unbound detrás para recursión, y dnscrypt-proxy delante de cualquier enlace que necesitara encriptación.
FAQ
¿Sigue siendo Pi-hole el mejor DNS autohospedado?
Es el más popular y el más documentado. AdGuard Home iguala o supera en política por cliente y encriptación integrada. Ambos son buenos predeterminados.
¿Se romperá mi internet si mi DNS autohospedado se cae?
Solo si no tienes fallback. La mayoría de los routers te permiten establecer un servidor DNS secundario. Apunta a un solucionador público (1.1.1.1 o 9.9.9.9) y los clientes caen de vuelta cuando tu DNS doméstico se cae.
¿Cuál es la diferencia entre Pi-hole y Unbound?
Pi-hole filtra y reenvía consultas a un solucionador ascendente. Unbound resuelve consultas hablando directamente con servidores raíz. Ejecutar ambos significa filtrado en Pi-hole, recursión en Unbound, sin dependencia de un solucionador público.
¿Puedo ejecutar DNS autohospedado en una Raspberry Pi?
Sí. Pi-hole, AdGuard Home, Blocky y dnsmasq se ejecutan cómodamente en una Raspberry Pi 4 o más nueva. Una Pi 5 tiene margen para varios servicios en el mismo cuadro.
¿Necesito aprender DNS para ejecutar un servidor autohospedado?
Para Pi-hole y AdGuard Home, no. Los scripts de instalación manejan las partes aburridas. Para BIND9 y características más avanzadas de Technitium, espera pasar un fin de semana leyendo.