BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
💡

Guía para seleccionar el mejor servicio público DNS

1
lordman
31
DNS

Quedaba por hacer este artículo, que complemente al artículo realizado anteriormente sobre como saber que DNS está realmente resolviendo las peticiones, artículo que vino a cuenta de que hay routers que interceptan las peticiones DNS de los dispositivos. La idea es que quien quita el servidor DNS de la operadora tenga un poco claro cual poner del montón de opciones que tenemos disponibles. Recomendable leer el artículo que acabo de enlazar por que explica varios conceptos interesantes y que son relevantes para la lectura de esta guía.

Versión del documento: 11.02.2025

Introducción

Para empezar hay que tener claro una cosa, de todos los servicios DNS que hay, muchos van bien, tanto como todos no, pero muchos, sobre todo los más o menos conocidos, casi todos van bien. El asunto es tratar de averiguar cuál de todos es el que se adecúa mejor a las necesidades o preferencias de cada cual. Y también, lógicamente, hay que hacer una selección y dejarlo algo resumido. Esto no quiere decir que no haya otros servicios que también nos puedan funcionar muy bien.

Para esta guía tengo en cuenta detalles como que resuelva a una buena velocidad, descarto servicios como Mullvad DNS o DNS.sb, por que son servicios que ofrecen preconfiguraciones, sin servidores en España, que para usar esos servicios existen otras alternativas mejores y por que, como es el caso de Mullvad, al menos desde Movistar, no resuelve ni a su servidor mas próximo en Europa y la resolución acaba en Singapur o USA. Si hay otras opciones que nos ofrecen exactamente lo mismo es preferible usar esas otras. Y sobretodo, fundamental, si se usa un DNS que no tiene servidores en España, es mas que recomendable que tenga ECS, en los dos ejemplos que pongo, no lo tienen.

Todas las opciones de DNS públicos que voy a enumerar a continuación ofrecen servicio de resolución por par de IPs (IPv4 e IPv6), DOT, DOH y en algunos casos DOQ o DOH3. También soportan DNSSEC, EDNS y ECS.

Tanto en el caso de los DNS de las operadoras como en el caso de los DNS públicos, todos ellos son AnyCast, es decir, la IP que introducimos como DNS no es realmente la que nos va a realizar la resolución, esa IP nos va a derivar hacia los servidores correspondientes de su red de hosts destinados a la resolución DNS.

Primero voy a hacer un pequeño análisis de los DNS de las principales operadoras, luego ya la selección en base a versiones gratuitas y por último la selección respecto a las opciones de pago más conocidas.

DNS de las principales operadoras

Lo primero, para poder comparar en cuanto a resolución pura sin filtrado se refiere, hago un breve resumen del estado de los DNS de cada una de las cuatro principales operadoras. DOH/DOT/DOQ todavía no está soportado por ninguna de las operadoras. Se rumorea que Movistar soporta DOH en pruebas a nivel interno pero no hay url pública.

  • Movistar: Soporte completo para DNSSEC, EDNS e IPv6.
  • Digi: DNSSEC no soportado, soporte completo para EDNS e IPv6.
  • Orange: DNSSEC no soportado, soporte completo EDNS, sin IPv6.
  • Vodafone: Sin soporte DNSSEC, sin soporte completo EDNS, sin IPv6.

Ninguna de las tres opciones soporta ECS, posiblemente por que consideran que no lo necesitan ya que siempre van a tener el servidor DNS próximo al usuario. Movistar sería el mejor DNS de las tres, para quien quiera resolución sin ningún tipo de filtrado se podría usar perfectamente si no se desea hacer el cambio a otro DNS. En el caso de Orange y Digi no soportan DNSSEC, lo cual no está todavía muy soportado a nivel de dominios, pero al menos ofrecen soporte completo para EDNS. Vodafone deduzco que no se están molestando demasiado en tener sus servidores DNS mínimamente actualizados.

En el caso de los servicios DNS que voy a mencionar a continuación, todos soportan DNSSEC, EDNS completo, IPv6 y excepto Cloudflare soportan ECS (en ControlD leer explicación).

Quad9 (mejor protección antimalware)

Quad9 sería la mejor opción para quien desee la mejor protección antimalware, sin falsos o casi sin falsos positivos, sin panel de usuario, todo preconfigurado en torno a ofrecer protección antimalware, está sería la mejor opción. Disponen de servidores en España, concretamente en Madrid y Barcelona. Tienen dos preconfiguraciones en base a si se desea tener o no soporte ECS. Soporta DNSSEC, EDNS e IPv6.

DNS0.eu (mejor protección antiphishing)

DNS0.eu no es que haya que decir que tiene mala protección antimalware, pero es una realidad que su base de datos es menos extensa que Quad9 en cuanto a webs maliciosas con malware. Lo que tiene DNS0.eu muy buena es una base de datos muy completa de urls de phishing. Recordamos, por si alguien no lo sabe, phishing es cuando te conectas a una web que realmente no es la web que aparenta ser. Para quien anteponga la protección antiphishing esta sería la mejor opción. Este servicio europeo dispone de tres configuraciones, entre ellas la configuración Zero, la cual, entre otras cosas, bloquea dominios más nuevos de 30 días, esto puede ser una ventaja para frenar webs maliciosas pero quien se conecte a webs de descargas de estas que cambian de dominio cada poco le va a fastidiar. En cuanto a la velocidad de resolución, quizás sea por sobrecarga, pero este servicio, comparado con los que tienen servidores en España, es el más lento de ellos. Soporta DNSSEC, EDNS, ECS e IPv6.

ControlD (bloqueo publicitario con servidores en España)

ControlD, con servidores en España, tiene bastantes preconfiguraciones en su versión gratuita y una de ellas es la de bloqueo publicitario. Funciona bastante bien pero puede pasar que bloquee alguna web que no debería. Puede darse el caso que nos bloquee una web limpia lo cual, al ser versión gratis sin panel de usuario que permita meterla en lista blanca, nos originará el problema de tener que cambiar de DNS y contactar con soporte. Si queréis mejor velocidad de resolución que el siguiente que voy a comentar podéis probar a usar este y a ver que tal os va con las webs que visitáis. Soporta DNSSEC, EDNS e IPv6. En el caso de ECS devuelve la subred del servidor que resuelve.

AdGuard (mejor bloqueo publicitario)

AdGuard es el servicio que ofrece la mejor lista para bloqueo publicitario, prácticamente sin falsas y muy optimizada. La pega es que por el momento no tienen servidores en España. Debido a los caches de sistema operativo y navegador, la experiencia en navegación va a ser muy positiva y yo por lo menos, en la práctica, no distingo de otro servicio con servidores en España. La pega es que quien quiera la máxima velocidad de resolución, pues AdGuard no se la va a ofrecer. Soporta DNSSEC, EDNS, ECS e IPv6.

Filtrado parental

Para filtrado parental hay varios servicios que nos van a funcionar bastante bien. De entrada tenemos el clásico OpenDNS, con su preconfiguración de filtrado parental, el cual sigue dando muy buenos resultados. Por otra parte hay servicios como AdGuard, ControlD o DNS0.eu que también ofrecen esta preconfiguración. Soporta DNSSEC, EDNS, ECS e IPv6.

Sin filtrado (resolución pura)

En cuanto a servicios DNS sin filtrado, que hagan una resolución pura y dura sin filtrado ni bloqueo de ningún tipo, hay bastantes opciones pero yo prefiero reducirlo todo a las dos principales opciones, en ambos casos disponen de una infraestructura potentisima con montón de servidores en todo el mundo. Opciones como AdGuard, ControlD, DNS0.eu… nos ofrecen también una resolución pura pero creo que ya que no vamos a utilizar ningún extra añadido es preferible irse a las opciones con mayor infraestructura.

  • Cloudflare: Esta opción suele ir bastante bien pero no dispone de soporte para ECS. Tiene servidores en Madrid y Barcelona. Dispone de tres preconfiguraciones, incluida una de malware. No recomendable la preconfiguración de malware ya que es muy floja.
  • Google: Opción de solo resolución, a diferencia del anterior solo dispone de servidores en Madrid. Soporta DNSSEC, EDNS, ECS e IPv6.
  • OpenDNS: Esta para quien desee utilizar algo que no sea lo típico de los dos grandes anteriores. OpenDNS dispone de un servicio de resolución gratuito con servidores en España. A su favor decir también que en muchos test de velocidad suele salir OpenDNS como más rápido que las dos anteriores. Soporta DNSSEC, EDNS, ECS e IPv6.

DNS Privado (Versiones de pago)

En versión de pago tenemos 3 opciones claras, bastante sonadas y utilizadas, AdGuard, ControlD y NextDNS. Hay más opciones de pago pero o son más caras o bien prefiero dejarlo en estas tres para dejar las cosas resumidas en lo que a las opciones más sonadas se refiere.

En cuanto a velocidad de resolución el más rápido de los tres es ControlD. AdAguard se queda el último ya que no dispone de servidores en España y NextDNS, pese a tener servidores en España, quizás por sobrecarga, se queda lento teniendo en cuenta que resuelve desde España y en los tests se acerca más de lo que debería a la velocidad de AdGuard. Todo esto que digo refiriéndome a los test de velocidad de resolución, en la práctica se pueden usar cualquiera de las tres opciones ya que no se va a notar diferencia alguna.

Las tres versiones tienen versión de prueba. En el caso de AdGuard y ControlD se ofrece una versión de prueba completa durante un mes. Luego a parte, NextDNS y AdAguard, ofrecen su versión completa limitada a 300k resoluciones mensuales.

En cuanto a soporte AdGuard y ControlD tienen soporte técnico en sus versiones personales, en el caso de NextDNS solo ofrece los foros de la comunidad de usuarios.

  • AdGuard: Este sería el mejor panel de usuario, el más moderno, muy visual, eficiente y claro. De manejo muy intuitivo y a mi modo de ver el que de manera más fácil se gestiona todo. Su panel de control también es el que de una forma más clara muestra toda la información. Aúnque tiene todo lo necesario, comparado con los otros dos, es el que tendría menos opciones especificas de ajuste y control. Aunque con una correcta velocidad de resolución no dispone de servidores en España. Desde el panel de control se permite crear y gestionar dispositivos y perfiles. A parte de sus propias listas dispone de listas de terceros. El coste en versión doméstica es de 22€ al año. AdGuard es, de los tres, el que mas optimizado está en dar los mínimos falsos positivos posibles pero a cambio de tener una protección antimalware y phishing menos agresiva. Soporta DNSSEC, EDNS, ECS e IPv6.
  • ControlD: Es un servicio muy completo que dispone de bastantes opciones pero ofrece un panel de control que lo veo algo farragoso y solo en inglés. Dicen que una vez que te acostumbras a el es el mejor, yo personalmente tengo mis dudas. A su favor tiene que dispone de una funcionalidad que, si el navegador lo soporta, permite conectarse a servicios de distribución de contenido cambiando la ubicación para que parezca que se hace desde otro sitio. Esto no es una VPN, aunque de los mismos creadores de ControlD si que se ofrece una VPN la cual es Windscribe. Desde el panel de control se permite crear y gestionar dispositivos y perfiles. A parte de sus propias listas dispone de listas de terceros. El coste en versión doméstica es de 20 o 40€ anuales dependiendo de la versión deseada. La versión de 20€ (Some control) no ofrece el cambio de ubicación. Soporta DNSSEC, EDNS e IPv6. En el caso de ECS devuelve la subred del servidor que realiza la resolución.
  • NextDNS: Este servicio funciona muy bien, tiene un panel de usuario con bastantes opciones, pero a mi modo de ver tiene una pega que provoca que la gestión de dispositivos en su panel de control se haya quedado obsoleta. En los dos servicios anteriores se puede crear un dispositivo, asignarle un perfil de configuración y, sin cambiar nada en el dispositivo, posteriormente cambiar de perfil de configuración si fuera necesario. En cambio en NextDNS solo se pueden crear perfiles y, dentro de cada perfil, sacar las estadísticas de cada dispositivo. Si quisiéramos cambiar la configuración de un dispositivo tendríamos que o cambiarle el perfil entero, afectando a todos los dispositivos asignados a ese perfil, o cambiar la configuración asignada en el propio dispositivo. Es decir, resumiendo, en AdGuard y ControlD se pueden crear dispositivos y perfiles mientras que en NextDNS solo se crean perfiles. En cuanto a la velocidad de resolución, quizás sea por sobrecarga, pero este servicio, comparado con los que tienen servidores en España, es el mas lento de ellos. A parte de sus propias listas dispone de listas de terceros. El coste de la versión doméstica es de 20€ al año. Soporta DNSSEC, EDNS, ECS e IPv6.

Activar ECH

En esto estoy viendo que tras activar DOH/DOT, en ajustes/redes de los sistemas operativos que lo permitan, o bien a través de utilidades como YogaDNS, luego resulta que hay navegadores como Firefox Escritorio que en Windows 10 solo activa ECH si se configura DOH en ajustes de privacidad del navegador, en Windows 11 creo que si activa ECH sin DoH. Así que lo mejor es que cada cual confirme activación de ECH a través de estos dos tests, que parece que son de los mas fiables, el de Defo.ie y el de Tls-ech.

Al hilo de esto, activar DOH en el propio navegador, los que uséis DNS de pago, en un mismo dispositivo podríais tener dos perfiles de configuración DOH/DOT, de esta forma se puede ver las estadísticas separadas, por un lado las del sistema operativo y por otro las del navegador. Lo comento por si interesa a alguien.

Utilidades de interés

  • DNSCheck - Web de análisis DNS.
  • DNSBenchmark - Test de velocidad DNS de Gibson (Windows).
  • DNS Speed Test - Test de velocidad DNS (Android).
  • YogaDNS - Cliente DNS para Windows con soporte DOT, DOH, DOH3, DOQ y DNSCrypt.
Paulauster
1

Muy currado. Gracias!

pepejil
4

NextDNS tiene opción gratuita de hasta 300.000 peticiones por mes. Después actúa como un resolver sin filtrar.

Es la opción que uso puesto que tiene un resolver en Madrid y funciona muy bien. Cero fallos hasta ahora.

Unimade
4

En Android utilizo desde hace tiempo la versión gratuita de NextDNS y estoy muy contento, nunca he llegado al límite y 0 problemas.

PezDeRedes
1

Gracias @lordman.

Yo en PC uso los del operador y en el navegador configuro DoH contra Cloudflare, y todo bien.

En cuanto al móvil, llevo mucho tiempo con la versión gratuita de NextDNS y es la auténtica salud. Si ya bloquease la publicidad dentro de Instagram…

dj-niko
1

Faltaría mencionar RethinkDNS

agarri

Hola!, alguien sabe si alguno sirve para los anuncios de prime o disney?

Gracias!

🗨️ 2
lordman

No sirve, los anuncios van integrados en la reproducción.

🗨️ 1
agarri

Ok, Gracias!

Catfluoride

ControlD, si uno paga la versión básica (sólo DNS) y por año cuesta calderilla, 20 $. Es verdad que a veces el panel de control puede intimidar un poco, pero también ofrece una flexibilidad absurda. La versión "cara", la que permite también geo-redireccionar, es inútil para la mayoría de personas. Por cierto, ambas versiones cuestan la mitad si eres usuario pro di Windscribe.

🗨️ 10
Prova1974

De ControlD me gusta el log instantáneo que te permite ver las peticiones en directo y puedes bloquear/autorizar las que te interesan. Yo lo tengo con descuento por tener Windscribe que también lo tengo con descuento por venir de un plan antiguo gratuito de 50Gb.

🗨️ 9
lordman

Ahora me has hecho dudar, pero creo que lo del log mas o menos instantáneo lo tienen todos. Igual a lo que te refieres es que que en ControlD es mas instantaneo que en los otros dos. Al final los tres servicios funcionan muy bien, cuestión de gustos de cada cual.

🗨️ 3
Prova1974

Solo probé NextDns y la interfaz de ControlD le da unas cuantas vueltas.

🗨️ 2
lordman
lordman
1
🗨️ 1
finsel

¿El plan que ofrecían gratuito/50GB hasta que Put*n la diñase o pagar $10/año ilimitado? 🤣

🗨️ 1
Prova1974

Ese mismo 😄

Catfluoride

Lo mismo. Lo tengo con descuento pro el Windscribe Pro (que también pillé con descuento por el BF). Al final me sale DNS + VPN por unos 40 $ año (ojalá baje más el $).

🗨️ 2
Prova1974

Con la oferta que comentaba el compañero más arriba a mi me sale todo por 20$/año. Tampoco estaba dispuesto a pagar demasiado más.

🗨️ 1
Prova1974
2

Un poco offtopic pero relacionado:

En Android, con Macrodroid (supongo que Tasker o Automate valdrían también)(ahora mismo no se si necesita Root o Shikuzu) me curré un pequeño botón en los Quick settings para activar/desactivar las DNS privadas cuando algo no carga/funciona como debería y no tengo ganas de trastear con los log.

1000036313
🗨️ 4
Catfluoride

Creo que sí necesitas root o shizuku, porque lo intenté yo también con Macrodroid y sin eso no va.

🗨️ 3
Prova1974

Acabo de probarlo con móvil recién reiniciado sin Shikuzu y funciona. 🙃

Curioso porque pide Root/adb hack.

🗨️ 2
Catfluoride

Igual depende del móvil. Algunos son más permisivos que otros. Lo volveré a intentar en mi 1+.

🗨️ 1
kalaikOS

Hola, yo creo que los DNS públicos de mullvad.net también están bastante bien, no?

🗨️ 7
lordman

Mira a ver desde dónde te resuelven. En mi caso, desde Movistar, fatal, resuelven desde USA o Singapur. Aún resolviendo te desde las ubicaciones más próximas sería Alemania o Suecia, hay mejores opciones.

🗨️ 6
kalaikOS

Desde Movistar/O2 resuelven desde Singapur, sí y van algo lentos. Desde red Vodafone resuelven desde UK y van OK. Pero son gratis, el filtrado funciona bien y de una empresa de VPN que es fiable. PAra quien no quiera mucha velocidad DNS (por ejemplo para mis familiares mayores), les protege razonablemente de malware/phishing/anuncios en el móvil y la velocidad exacta les da igual

🗨️ 5
pepejil

Por muy bueno que sea el producto, no compensa si lo pagas con unos tiempos de resolución altísimos… Y esas altas latencias los acabas notando con una mínima navegación que hagas.

Y en redes sociales normalmente hacen muchas peticiones a distintos CDN (sobretodo TikTok) y eso implica docenas de resoluciones DNS que estarán completamente penalizadas.

lordman
1

He reeditado el trozo ese, a ver si me explico mejor, me refiero a que para utilizar opciones como mullvad, sin servidores en España, sin listas propias y habiendo mejores alternativas, pues personalmente no lo veo. Y sobretodo, fundamental, si se usa un DNS que no tiene servidores en España, tiene que tener ECS, algo que Mullvad no tiene.

lordman
1

Mira esto, te pongo un ejemplo para que lo veas. Primero probamos con AdGuard, resuelven desde UK, pero tiene soporte ECS, asi que no hay pega. Voy a utilizar un dominio de conexión a los servidores CDN de Dropbox. Observa que aunque el servidor DNS esté en UK me ha cogido mi ubicación y me resuelve hacia un servidor en España, no voy a geolocalizar por que da igual, 7-9ms es España.

ping-dropbox-adguard

Ahora cambio a Mullvad, me va a resolver desde Singapur pero para el ejemplo es lo mismo, fijate que ping me provoca. Es decir, como no sabe mi ubicación me va a resolver hacia los servidores dropbox próximos al servidor DNS.

ping-dropbox-mullvad

Por eso es necesario el soporte ECS cuando el DNS no tiene servidores en España.

No voy a hacer el cambio de servidor DNS por que es igual, simplemente fíjate en la IP, ahora voy a hacer la petición usando los DNS de Movistar, que no tienen ECS, y verás que resuelve correctamente hacia la IP de Dropbox en España. Claro, no soporta ECS, pero le da igual, sabe que estoy en España.

nslookup-dropbox-movistar

Resumiendo, si usáis DNS que no tengan servidores en España, primero mirar a ver desde donde os resuelve y segundo que tengan soporte ECS.

Para tema de anuncios/malware/phising → AdGuard o ControlD, a gusto de cada cual.

🗨️ 2
kalaikOS
kalaikOS
1
🗨️ 1
lordman
lordman
1
lordman
1

Añadido el apartado con un pequeño análisis del DNS de las principales operadoras.

lordman

Añadido un apartadillo para ECH.