← Volver a RocksDNS

Cómo verificar que RocksDNS está funcionando correctamente

Configurar DNS cifrado no garantiza que esté funcionando. Hay situaciones en las que el sistema sigue usando el DNS del proveedor sin que lo notes: una VPN que intercepta consultas, Firefox con su propio DoH activo, o un router que ignora la configuración del dispositivo. Esta guía te ayuda a comprobar que RocksDNS está realmente activo.

Opción 1: dnscheck.tools

dnscheck.tools es la forma más rápida de comprobar qué DNS está usando tu navegador o dispositivo. Abre la web desde el dispositivo donde hayas configurado RocksDNS y mira el resultado.

Qué te dice cada campo

  • DNS resolver: debería aparecer una IP de RocksDNS (82.223.31.111 o 116.203.57.216) o el nombre del servicio.
  • DNS over HTTPS / DNS over TLS: debería estar activo si usas DoH o DoT.
  • DNSSEC: RocksDNS valida DNSSEC, así que debería aparecer como activo.

Qué significa si el resultado no es RocksDNS

  • Si aparece tu operadora o una IP de Google o Cloudflare, la configuración no está aplicando.
  • Si usaste DoH solo en el navegador, la comprobación refleja lo que hace ese navegador. Si la haces desde otro, puede dar un resultado diferente.
  • Si tienes una VPN activa, es posible que esté interceptando el DNS antes de que llegue a RocksDNS.

Haz la comprobación desde el mismo navegador o dispositivo donde hayas configurado RocksDNS. Los resultados varían según desde dónde se hace la consulta.

Opción 2: verificación con curl (DoH)

Desde cualquier terminal puedes comprobar directamente si el endpoint DoH de RocksDNS responde:

curl -H 'accept: application/dns-json' \
'https://dns.rocksdns.ovh/dns-query?name=example.com&type=A'

Si recibes una respuesta JSON con un campo Status: 0 y una sección Answer con IPs, el endpoint está respondiendo correctamente.

Para el servidor alemán:

curl -H 'accept: application/dns-json' \
'https://dns2.rocksdns.ovh/dns-query?name=example.com&type=A'

Esto comprueba que el servidor DoH responde, no que tu sistema lo esté usando. Para eso usa dnscheck.tools o resolvectl.

Opción 3: verificación con kdig (DoT y DoQ)

kdig forma parte del paquete knot-dnsutils y permite verificar DoT y DoQ directamente.

DoT

kdig @dns.rocksdns.ovh +tls google.com
kdig @dns2.rocksdns.ovh +tls google.com

Si la sesión TLS se establece correctamente verás algo como TLS session (TLS1.3) al inicio de la respuesta.

DoQ

kdig @dns.rocksdns.ovh -p 8853 +quic google.com
kdig @dns2.rocksdns.ovh -p 8853 +quic google.com

Si DoQ funciona verás QUIC session (QUICv1) en la cabecera de la respuesta.

Instalar kdig

# Debian / Ubuntu
sudo apt install knot-dnsutils

# Fedora
sudo dnf install knot-utils

# macOS con Homebrew
brew install knot

Opción 4: resolvectl (Linux con systemd)

Si configuraste RocksDNS mediante systemd-resolved, puedes comprobar el estado directamente:

resolvectl status

Busca las líneas DNS Servers y DNS over TLS. Deberías ver las IPs de RocksDNS y el estado TLS activo.

resolvectl query example.com

Esto hace una consulta real a través del resolvedor configurado y muestra qué servidor respondió.

Casos habituales donde la verificación falla

Firefox tiene su propio DoH activo

Firefox puede estar usando su propio proveedor DoH (por defecto Cloudflare o NextDNS) aunque hayas configurado RocksDNS en el sistema. Si la comprobación desde Firefox da un resultado diferente al del sistema, revisa la configuración de DoH en Ajustes → Privacidad y seguridad → DNS sobre HTTPS.

Una VPN intercepta el DNS

Muchas VPN redirigen todas las consultas DNS a sus propios servidores para evitar fugas. Si tienes una VPN activa, es probable que el DNS que ves en dnscheck.tools sea el de la VPN, no RocksDNS. Desactiva la VPN temporalmente para comprobar RocksDNS por separado.

El router ignora la configuración del dispositivo

Algunos routers fuerzan el DNS de la operadora a todos los dispositivos de la red, ignorando la configuración individual. Si la verificación siempre muestra el DNS del ISP, el problema está probablemente en el router. En ese caso la única solución es configurar un resolvedor local en la red o usar DoH dentro del navegador, que el router no puede interceptar.

Hay dos configuraciones activas a la vez

Si tienes DoH en el navegador y también systemd-resolved configurado, pueden estar usando resolvedores distintos. Elige un método y desactiva el otro para evitar confusión.

Si dnscheck.tools muestra tu operadora después de configurar RocksDNS, no significa que algo esté roto en RocksDNS. Significa que algo en tu dispositivo, navegador o red está usando otro DNS. Las guías de cada plataforma explican cómo forzar que el DNS cifrado sea el que manda.

Comprobación rápida de fugas DNS

dnsleaktest.com hace una prueba más exhaustiva mostrando todos los servidores DNS que han participado en la resolución. Si aparecen servidores de tu operadora junto a los de RocksDNS, hay una fuga parcial.

Ejecuta el test extendido para ver el resultado completo.

Para terminar

La comprobación más rápida es dnscheck.tools desde el dispositivo o navegador donde hayas configurado RocksDNS. Si el resultado muestra otra cosa, el problema casi siempre está en una VPN activa, en Firefox usando su propio DoH, o en un router que intercepta el DNS antes de que llegue al dispositivo.

Si tienes dudas, escríbenos por Mastodon.

¿Aún no has configurado RocksDNS?

Elige tu dispositivo y sigue la guía correspondiente:

Ver todas las guías Inicio

Más guías de RocksDNS