// Índice de contenidos
El DNS es el sistema que traduce nombres de dominio a direcciones IP. Sin una configuración DNS correcta, tu sitio web simplemente no carga, los emails no llegan, y los servicios quedan inaccesibles.
HestiaCP incluye BIND9, uno de los servidores DNS más robustos y utilizados del mundo. Con él puedes gestionar zonas DNS completas, crear registros de todo tipo, e incluso configurar tus propios nameservers para mayor independencia.
En esta guía te explico cómo gestionar DNS en HestiaCP: desde crear zonas básicas hasta configurar DNSSEC y clusters DNS para alta disponibilidad. Ya uses los DNS del registrador o prefieras gestionarlos tú mismo, aquí encontrarás la información que necesitas.
Conceptos básicos de DNS
Antes de configurar, entendamos los conceptos clave:
Zona DNS
Una zona DNS es el conjunto de registros para un dominio. Contiene toda la información que los servidores DNS necesitan para resolver consultas sobre ese dominio.
Registros DNS
Son las entradas individuales dentro de una zona. Cada registro tiene:
- Nombre - El subdominio (@ para raíz, www, mail, etc.)
- Tipo - A, AAAA, CNAME, MX, TXT, etc.
- Valor - La IP o destino
- TTL - Tiempo de vida en caché (en segundos)
TTL (Time To Live)
El TTL indica cuánto tiempo los resolvers DNS deben cachear el registro:
| TTL | Tiempo | Uso recomendado |
|---|---|---|
| 300 | 5 min | Antes de cambios, migración |
| 3600 | 1 hora | Balance estándar |
| 14400 | 4 horas | Registros estables |
| 86400 | 24 horas | Registros que nunca cambian |
Consejo: Antes de migrar, reduce el TTL a 300 segundos con 24-48h de antelación.
Nameservers
Son los servidores que responden consultas DNS para tu dominio. Puedes usar:
- Los del registrador (ej: ns1.registrador.com)
- Los de un servicio DNS (Cloudflare, Route53)
- Los de tu propio servidor HestiaCP
Crear zona DNS
Desde el panel web
- Inicia sesión en HestiaCP
- Ve a la sección DNS
- Haz clic en Add DNS Zone
- Completa los campos:
- Domain: tudominio.com
- IP Address: IP de tu servidor
- Template: default (o child-ns si usas nameservers propios)
- En Advanced Options puedes:
- Cambiar TTL por defecto
- Especificar nameservers personalizados
- Habilitar DNSSEC
- Haz clic en Save
HestiaCP crea automáticamente los registros básicos: SOA, NS, A para raíz y www, MX si tienes email.
Por línea de comandos
# Crear zona básica
v-add-dns-domain usuario tudominio.com 123.45.67.89
# Crear zona con opciones
v-add-dns-domain usuario tudominio.com 123.45.67.89 ns1.tudominio.com,ns2.tudominio.com "" "" "" default
# Listar zonas del usuario
v-list-dns-domains usuarioPlantillas disponibles
| Plantilla | Uso |
|---|---|
| default | Zona estándar con registros básicos |
| child-ns | Para nameservers propios (glue records) |
| gmail | Registros MX para Google Workspace |
| zoho | Registros MX para Zoho Mail |
Tipos de registros DNS
Registro A
Apunta un nombre a una dirección IPv4.
Nombre: @
Tipo: A
Valor: 123.45.67.89Ejemplo: tudominio.com → 123.45.67.89
Registro AAAA
Igual que A pero para IPv6.
Nombre: @
Tipo: AAAA
Valor: 2001:db8::1Registro CNAME
Alias que apunta a otro nombre (no a IP).
Nombre: www
Tipo: CNAME
Valor: tudominio.comImportante: No puedes usar CNAME en el dominio raíz (@). Usa A en su lugar.
Registro MX
Especifica servidores de correo con prioridad.
Nombre: @
Tipo: MX
Prioridad: 10
Valor: mail.tudominio.comPrioridad menor = preferencia mayor. Si tienes varios MX, el de menor número se usa primero.
Registro TXT
Texto arbitrario, usado para verificación y seguridad.
Nombre: @
Tipo: TXT
Valor: v=spf1 a mx ip4:123.45.67.89 ~allUsos comunes:
- SPF (autenticación email)
- DKIM (firma email)
- DMARC (política email)
- Verificación de propiedad (Google, etc.)
Registro SRV
Define servicios específicos con puerto y prioridad.
Nombre: _autodiscover._tcp
Tipo: SRV
Prioridad: 0
Peso: 0
Puerto: 443
Valor: mail.tudominio.comUsado para: autodescubrimiento de email, SIP, XMPP, etc.
Registro CAA
Especifica qué autoridades pueden emitir certificados SSL.
Nombre: @
Tipo: CAA
Valor: 0 issue "letsencrypt.org"Registro NS
Define los nameservers para el dominio.
Nombre: @
Tipo: NS
Valor: ns1.tudominio.comAñadir y editar registros
Añadir registro desde el panel
- Ve a DNS
- Haz clic en el dominio para ver sus registros
- Haz clic en Add Record
- Completa:
- Record: nombre (@ para raíz, www, mail, etc.)
- Type: tipo de registro
- Value: valor o destino
- Priority: solo para MX y SRV
- TTL: tiempo de caché (opcional)
- Haz clic en Save
Añadir registro por CLI
# Registro A
v-add-dns-record usuario tudominio.com www A 123.45.67.89
# Registro CNAME
v-add-dns-record usuario tudominio.com blog CNAME tudominio.com
# Registro MX
v-add-dns-record usuario tudominio.com @ MX mail.tudominio.com 10
# Registro TXT
v-add-dns-record usuario tudominio.com @ TXT "v=spf1 a mx ~all"
# Registro con TTL específico
v-add-dns-record usuario tudominio.com @ A 123.45.67.89 "" 300Editar registro existente
# Listar registros para obtener ID
v-list-dns-records usuario tudominio.com
# Modificar registro por ID
v-change-dns-record usuario tudominio.com 5 www A 123.45.67.90Eliminar registro
v-delete-dns-record usuario tudominio.com 5Configurar DNS para web
Configuración básica
Para que un sitio web funcione, necesitas mínimo:
| Registro | Nombre | Tipo | Valor |
|---|---|---|---|
| Raíz | @ | A | IP_SERVIDOR |
| WWW | www | A | IP_SERVIDOR |
O usando CNAME para www:
| Registro | Nombre | Tipo | Valor |
|---|---|---|---|
| Raíz | @ | A | IP_SERVIDOR |
| WWW | www | CNAME | tudominio.com |
Subdominios
Para cada subdominio que uses:
blog.tudominio.com → A → IP_SERVIDOR
tienda.tudominio.com → A → IP_SERVIDOR
api.tudominio.com → A → IP_SERVIDORCDN o proxy (Cloudflare)
Si usas Cloudflare, los registros apuntan a Cloudflare, no a tu servidor:
@ → A → IP_CLOUDFLARE (proxy activado)
www → CNAME → tudominio.com (proxy activado)Con proxy de Cloudflare, tu IP real queda oculta.
Configurar DNS para email
Para que el email funcione correctamente, necesitas varios registros:
Registros esenciales para email
| Registro | Nombre | Tipo | Valor | Prioridad |
|---|---|---|---|---|
| Mail server | A | IP_SERVIDOR | - | |
| MX | @ | MX | mail.tudominio.com | 10 |
| SPF | @ | TXT | v=spf1 a mx ip4:IP ~all | - |
| DKIM | mail._domainkey | TXT | [clave pública] | - |
| DMARC | _dmarc | TXT | v=DMARC1; p=none; rua=mailto:… | - |
Obtener clave DKIM de HestiaCP
# Ver registro DKIM
v-list-dns-domain-dkim usuario tudominio.com
# La salida incluye el registro TXT para DKIMO desde el panel: Mail → dominio → Ver DKIM.
Webmail y autodescubrimiento
Para acceso webmail y configuración automática en clientes:
| Registro | Nombre | Tipo | Valor |
|---|---|---|---|
| Webmail | webmail | A | IP_SERVIDOR |
| Autoconfig | autoconfig | A | IP_SERVIDOR |
| Autodiscover | autodiscover | A | IP_SERVIDOR |
| SRV IMAP | _imaps._tcp | SRV | 0 0 993 mail.tudominio.com |
| SRV SMTP | _submission._tcp | SRV | 0 0 587 mail.tudominio.com |
Usar email externo (Google Workspace, Microsoft 365)
Si usas email externo, los MX apuntan al proveedor:
Google Workspace:
@ MX 1 aspmx.l.google.com
@ MX 5 alt1.aspmx.l.google.com
@ MX 5 alt2.aspmx.l.google.com
@ MX 10 alt3.aspmx.l.google.com
@ MX 10 alt4.aspmx.l.google.comMicrosoft 365:
@ MX 0 tudominio-com.mail.protection.outlook.comDNS gestionado sin complicaciones
El VPS HestiaCP Administrado incluye configuración DNS optimizada para web y email, con soporte para DNSSEC y asistencia en migración.
Nameservers propios
Usar tus propios nameservers (ns1.tudominio.com, ns2.tudominio.com) ofrece más control y profesionalismo.
Requisitos
- Dos IPs diferentes (idealmente en servidores distintos)
- Registrar glue records en tu registrador de dominio
- Configurar HestiaCP con la plantilla child-ns
Paso 1: Registrar Glue Records
En tu registrador de dominio (donde compraste el dominio):
- Busca la sección de nameservers personalizados o glue records
- Añade:
- ns1.tudominio.com → IP_SERVIDOR_1
- ns2.tudominio.com → IP_SERVIDOR_2
Los glue records evitan el problema del huevo y la gallina: el dominio necesita NS para resolver, pero los NS son subdominios del dominio.
Paso 2: Configurar HestiaCP
Edita /usr/local/hestia/conf/hestia.conf:
# Nameservers del sistema
NS1='ns1.tudominio.com'
NS2='ns2.tudominio.com'O por CLI:
v-change-sys-config-value NS1 ns1.tudominio.com
v-change-sys-config-value NS2 ns2.tudominio.comPaso 3: Crear zona con plantilla child-ns
v-add-dns-domain usuario tudominio.com 123.45.67.89 ns1.tudominio.com,ns2.tudominio.com "" "" "" child-nsEsto crea los registros A para ns1 y ns2 dentro de la zona.
Paso 4: Actualizar nameservers en el registrador
Cambia los nameservers del dominio a los tuyos propios:
- ns1.tudominio.com
- ns2.tudominio.com
La propagación puede tardar hasta 48 horas.
Verificar configuración
# Verificar que los NS responden
dig NS tudominio.com
# Verificar que resuelven correctamente
dig @ns1.tudominio.com tudominio.com AConfigurar DNSSEC
DNSSEC añade firmas criptográficas a los registros DNS, protegiendo contra ataques de suplantación.
Habilitar DNSSEC en HestiaCP
- Ve a DNS → tu dominio → Editar
- Marca Enable DNSSEC
- Guarda
O por CLI:
v-add-dns-domain-dnssec usuario tudominio.comObtener claves públicas
v-list-dns-domain-dnssec usuario tudominio.comEsto muestra las claves DS y DNSKEY que necesitas.
Añadir DS record en el registrador
Copia la información DS (Delegation Signer) y añádela en tu registrador de dominio en la sección de DNSSEC.
Los campos típicos son:
- Key Tag: número identificador
- Algorithm: tipo de algoritmo (13 = ECDSAP256SHA256)
- Digest Type: tipo de hash (2 = SHA-256)
- Digest: el hash de la clave
Verificar DNSSEC
# Verificar localmente
dig +dnssec tudominio.com
# Verificar online
# https://dnssec-analyzer.verisignlabs.com/Precauciones con DNSSEC
- No deshabilites sin quitar primero el DS del registrador
- Si hay problemas, el dominio queda completamente inaccesible
- Los TTL deben ser mayores que el tiempo de propagación de cambios
DNS Cluster (Alta Disponibilidad)
Un cluster DNS replica zonas entre servidores para redundancia.
Tipos de configuración
| Configuración | Descripción |
|---|---|
| Master → Slave | Un servidor principal, otros réplicas |
| Master ↔ Master | Bidireccional, ambos pueden crear zonas |
Configurar Master → Slave
En el servidor Master:
# Añadir servidor slave
v-add-remote-dns-host slave.tudominio.com 8083 admin contraseña
# Verificar
v-list-remote-dns-hostsEn el servidor Slave:
- Crea un usuario dns-cluster o asigna rol dns-cluster a un usuario
- Habilita API para la IP del Master
Las zonas se sincronizan automáticamente cuando se crean o modifican en el Master.
Configurar Master ↔ Master
Configura cada servidor como Master del otro:
# En servidor 1
v-add-remote-dns-host servidor2.com 8083 admin contraseña
# En servidor 2
v-add-remote-dns-host servidor1.com 8083 admin contraseñaExcluir usuarios del cluster
Por defecto, el usuario dns-cluster no sincroniza sus zonas:
# Ver usuarios excluidos
cat /usr/local/hestia/conf/dns-cluster.confMigrar DNS a HestiaCP
Desde el registrador
- Reduce TTL a 300 segundos 24-48h antes
- Crea zona en HestiaCP con todos los registros
- Verifica que los registros son correctos
- Cambia nameservers en el registrador a los de HestiaCP (o tus propios NS)
- Espera propagación (hasta 48h)
- Aumenta TTL a valores normales
Desde otro servidor
Si tienes archivos de zona BIND:
# No hay importador automático, pero puedes extraer registros
cat /var/named/tudominio.com.db
# Crear zona y añadir registros manualmente o con scriptVerificar propagación
Usa herramientas online:
O desde terminal:
# Consultar DNS específico
dig @8.8.8.8 tudominio.com A
# Consultar todos los registros
dig tudominio.com ANYErrores comunes y soluciones
”Domain is not delegated to this server”
Causa: Los nameservers del dominio no apuntan a tu servidor.
Solución: Verifica en el registrador que los NS apuntan a tu servidor HestiaCP.
Registros no se propagan
Causas:
- TTL alto en registros antiguos
- Caché local del navegador/sistema
- NS no actualizados en registrador
Solución:
- Espera el tiempo del TTL anterior
- Limpia caché:
ipconfig /flushdns(Windows) osudo systemd-resolve --flush-caches(Linux) - Verifica NS:
dig NS tudominio.com
Email no llega (MX incorrecto)
Causa: Registro MX mal configurado.
Solución:
# Verificar MX
dig MX tudominio.com
# Debe mostrar tu servidor de mailDNSSEC rompe el dominio
Causa: DS record en registrador pero DNSSEC deshabilitado en servidor (o viceversa).
Solución:
- Si deshabilitaste DNSSEC en HestiaCP, quita el DS del registrador
- Si el DS es correcto, verifica que DNSSEC está activo en HestiaCP
Subdominio no resuelve
Causa: Falta registro A o CNAME para el subdominio.
Solución: Añade el registro correspondiente:
v-add-dns-record usuario tudominio.com subdominio A 123.45.67.89¿DNS te parece complejo?
El VPS HestiaCP Administrado incluye configuración DNS profesional, nameservers propios opcionales, y soporte experto para cualquier duda.
Preguntas frecuentes
¿Necesito usar el DNS de HestiaCP?
No. Puedes usar los DNS del registrador o servicios externos como Cloudflare. HestiaCP funcionará igual para web y email, solo que los registros DNS los gestionas en otro lugar.
¿Cuánto tarda la propagación DNS?
Depende del TTL anterior y de los resolvers. Típicamente 15 minutos a 48 horas. Con TTL bajo (300s), los cambios se ven rápido.
¿Puedo usar Cloudflare con HestiaCP?
Sí. Usa Cloudflare como DNS y proxy, y configura tus dominios web en HestiaCP normalmente. El proxy de Cloudflare reenvía las peticiones a tu servidor.
¿Qué es mejor, DNS propio o del registrador?
Registrador es más simple pero con menos control. HestiaCP te da control total e integración. Cloudflare ofrece protección extra y CDN. Para la mayoría, Cloudflare o DNS del registrador son suficientes.
¿Por qué necesito dos nameservers?
Por redundancia. Si uno falla, el otro responde. Muchos registradores exigen un mínimo de 2 nameservers configurados.
¿El DNS afecta la velocidad del sitio?
La resolución DNS añade latencia en la primera conexión. Con TTL alto, el impacto es mínimo porque se cachea. Para optimizar, usa DNS anycast de alto rendimiento como Cloudflare.
¿DNSSEC es necesario?
Es recomendable para seguridad adicional contra spoofing, pero no es obligatorio. Añade una capa de complejidad que debe gestionarse con cuidado.
Conclusión
El DNS bien configurado es fundamental para que tu web y email funcionen correctamente. Con HestiaCP tienes control total sobre tus zonas DNS, pudiendo:
- Crear zonas con plantillas predefinidas
- Gestionar registros de todo tipo (A, CNAME, MX, TXT, etc.)
- Configurar nameservers propios para mayor independencia
- Habilitar DNSSEC para seguridad adicional
- Crear clusters DNS para alta disponibilidad
Si prefieres simplificar, el VPS HestiaCP Administrado de Avantys incluye configuración DNS optimizada para tus dominios, con soporte técnico para resolver cualquier problema de propagación o configuración.
Guías relacionadas
- Cómo instalar HestiaCP en Ubuntu
- Configurar Email en HestiaCP
- Configurar SSL en HestiaCP
- Seguridad en HestiaCP
- ¿Qué es HestiaCP?
VPS HestiaCP Administrado
Tu servidor HestiaCP con soporte técnico profesional. Nos encargamos de la administración para que tú te dediques a tus clientes.
VPS HestiaCP Administrado
La potencia de un VPS con el panel HestiaCP, montado y gestionado por nosotros.
