DNS4EU: el resolvedor DNS europeo (DoH/DoT), perfiles y configuración
Por CaptainDNS
Publicado el 7 de enero de 2026
- #DNS
- #DNS4EU
- #resolvedor DNS
- #Privacidad
- #Seguridad
- #Control parental
- #DoH
- #DoT
- 📢 DNS4EU es un resolvedor DNS público europeo (lanzado en 2025) con 5 variantes y endpoints cifrados (DoH/DoT).
- Para una red familiar, empieza con Protective + Child Protection; la anti-publicidad es útil, pero puede romper sitios/apps.
- Despliega en el router (IPv4 + IPv6) para cubrir toda la red y luego trata los desvíos (DoH del navegador, DNS alternativos).
- Verifica con
dig/nslookup+ un test de fuga DNS y mantén un plan de respaldo documentado (perfil Unfiltered o DNS alternativo).
Cambiar de resolvedor DNS no es solo "navegar más rápido" en Internet. También es decidir quién ve tus consultas DNS, dónde se procesan y si aplica un filtrado (seguridad, contenido, publicidad) antes incluso de conectar con el sitio.
En la serie sobre resolvedores DNS públicos (Google 8.8.8.8, Cloudflare (1.1.1.1), CleanBrowsing DNS,...), DNS4EU tiene un ángulo particular: es una alternativa operada bajo jurisdicción europea, con perfiles de protección y filtrado listos para usar.
Objetivo: ofrecerte una guía concreta para elegir la variante DNS4EU adecuada, instalarla en el lugar correcto (router vs dispositivos), verificar que funciona de verdad y evitar trampas (IPv6, DoH del navegador, anti-publicidad demasiado agresiva).
DNS4EU: qué es y por qué existe
DNS4EU ofrece un resolvedor DNS público (recursivo): le envías tus consultas DNS, resuelve nombres de dominio y devuelve respuestas (con caché). La diferencia con un "DNS público clásico" es sobre todo el posicionamiento:
- Jurisdicción europea: procesamiento anunciado dentro del espacio digital europeo.
- Perfiles: 5 variantes listas para usar (protección, niños, anti-publicidad, etc.).
- DNS cifrado: endpoints DoT (TLS) y DoH (HTTPS) para todas las variantes.
- DNSSEC: validación anunciada en el resolvedor (integridad de respuestas).
Actualidad 2025: lanzamiento del servicio público DNS4EU
El servicio público DNS4EU se lanzó oficialmente en junio de 2025. Para un admin o un "no tan friki", eso significa: direcciones estables, documentación, página de test y una política pública que describe el enfoque de privacidad/filtrado.
Más hogar/familia... que "DNS de empresa"
DNS4EU distingue varias ofertas. Aquí hablamos del DNS4EU Public Service.
Puntos clave:
- El servicio público se anuncia como destinado a ciudadanos y no a uso comercial.
- Límite indicado: 1.000 consultas DNS/s por IP; por encima, las consultas pueden ser rechazadas (no apto para grandes volúmenes).
- Fuera de la UE, sigue funcionando, pero la infraestructura está optimizada sobre todo para Europa (latencia variable).
- Si eres una organización (pyme, entidad pública, operador), DNS4EU remite a ofertas dedicadas (gobierno, telco, empresa).
👉 Conclusión operativa:
- Hogar / familia: excelente candidato si quieres una protección a nivel DNS simple, con opción de control parental.
- Pyme: interesante para probar o para uso muy ligero, pero no des por hecho que "DNS público = DNS de empresa". Si tienes dominios internos, split-horizon, requisitos de cumplimiento o altos volúmenes, elige una solución adecuada.
Las 5 variantes de DNS4EU: elegir el perfil correcto
DNS4EU ofrece 5 variantes. Todas existen en IPv4/IPv6 y en endpoints cifrados (DoH/DoT).
| Variante | ¿Qué bloquea? | Cuándo elegirla |
|---|---|---|
| Protective | dominios maliciosos/fraudulentos (phishing, malware, estafas...) | base de seguridad para todo el hogar |
| Protective + Child Protection | protective + categorías no aptas para niños | red familiar con niños |
| Protective + Ad Blocking | protective + bloqueo de dominios publicitarios | reducir anuncios/trackers (con riesgo de fallos) |
| Protective + Child + Ad Blocking | niños + anti-publicidad combinados | útil, pero más frágil: pruebas obligatorias |
| Unfiltered | sin filtrado | DNS4EU "neutral", o variante de respaldo |
Regla de oro: no mezcles variantes en DNS1/DNS2
Evita el clásico "DNS1 filtrante / DNS2 no filtrante". Según el SO, la latencia y los timeouts, las consultas van a uno u otro: tu filtrado se vuelve aleatorio.
Si eliges una variante DNS4EU, pon las dos IP de la misma variante (y haz lo mismo en IPv6 si tu red lo usa).
Direcciones DNS4EU: resumen (IPv4/IPv6/DoH/DoT)
Puedes copiar y pegar. Cada variante tiene 2 IP (redundancia) en IPv4 y IPv6.
-
Protective
- IPv4 :
86.54.11.1,86.54.11.201 - IPv6 :
2a13:1001::86:54:11:1,2a13:1001::86:54:11:201 - DoT :
protective.joindns4.eu - DoH :
https://protective.joindns4.eu/dns-query
- IPv4 :
-
Protective + Child Protection
- IPv4 :
86.54.11.12,86.54.11.212 - IPv6 :
2a13:1001::86:54:11:12,2a13:1001::86:54:11:212 - DoT :
child.joindns4.eu - DoH :
https://child.joindns4.eu/dns-query
- IPv4 :
-
Protective + Ad Blocking
- IPv4 :
86.54.11.13,86.54.11.213 - IPv6 :
2a13:1001::86:54:11:13,2a13:1001::86:54:11:213 - DoT :
noads.joindns4.eu - DoH :
https://noads.joindns4.eu/dns-query
- IPv4 :
-
Protective + Child + Ad Blocking
- IPv4 :
86.54.11.11,86.54.11.211 - IPv6 :
2a13:1001::86:54:11:11,2a13:1001::86:54:11:211 - DoT :
child-noads.joindns4.eu - DoH :
https://child-noads.joindns4.eu/dns-query
- IPv4 :
-
Unfiltered
- IPv4 :
86.54.11.100,86.54.11.200 - IPv6 :
2a13:1001::86:54:11:100,2a13:1001::86:54:11:200 - DoT :
unfiltered.joindns4.eu - DoH :
https://unfiltered.joindns4.eu/dns-query
- IPv4 :
Privacidad: lo que DNS4EU mejora... y lo que el DNS no puede ocultar
DNS4EU destaca un enfoque centrado en la privacidad (IP anonimizada antes de los logs, política pública, cumplimiento RGPD). Es un plus real frente a resolvedores cuyo modelo económico es el dato.
Pero ten en mente una regla simple:
- DNS cifrado (DoH/DoT) protege la consulta contra escucha/alteración en la red entre tú y el resolvedor.
- Sin embargo, el resolvedor sigue viendo los dominios que resuelves (si no, no podría responder).
Por tanto:
- reduces la exposición a actores locales (Wi-Fi, proxy, interceptación);
- trasladas la confianza al proveedor de DNS (aquí DNS4EU).
Do53, DoT, DoH: elegir el transporte DNS con DNS4EU
Antes de hablar de "mejor DNS", aclaremos el transporte:
- Do53: DNS clásico en UDP/TCP 53. Simple, universal, pero no cifrado en la red local.
- DoT (DNS-over-TLS): DNS cifrado vía TLS (normalmente TCP/853). Muy práctico en Android (DNS privado) y algunos SO.
- DoH (DNS-over-HTTPS): DNS cifrado dentro de HTTPS (TCP/443). Muy común en navegadores, a menudo más tolerante en redes filtrantes.
Decisión rápida
- Router/box: Do53 es lo más simple. Cubre IPv4 y IPv6.
- Dispositivos móviles: DoT a nivel de SO suele ser el mejor compromiso (coherente, fácil de diagnosticar).
- Navegadores: DoH es útil, pero también puede saltarse tu DNS de red si el navegador sigue configurado con otro proveedor.
Configuración: 3 escenarios concretos (router, móvil, navegador)
Escenario 1: Router/box - cubrir toda la casa
Objetivo: que todos los dispositivos del LAN (Wi-Fi, TV, consolas, invitados) usen DNS4EU.
- Elige la variante (p. ej., Protective + Child Protection).
- En tu router/box, sustituye los DNS por las dos IPv4 correspondientes.
- Si tu red usa IPv6, añade también las dos IPv6 (si no, posible fuga).
- Renueva DHCP (Wi-Fi off/on, reinicio) y prueba.
Ejemplo "Protective + Child Protection":
- IPv4 :
86.54.11.12y86.54.11.212 - IPv6 :
2a13:1001::86:54:11:12y2a13:1001::86:54:11:212
Escenario 2: Android - DoT vía "DNS privado"
Objetivo: cifrar el DNS en el teléfono, incluso fuera de casa.
En Android: Ajustes → Red e Internet → DNS privado → "Nombre de host del proveedor".
Indica el hostname DoT de tu variante:
- Protective :
protective.joindns4.eu - Child :
child.joindns4.eu - NoAds :
noads.joindns4.eu - Child+NoAds :
child-noads.joindns4.eu - Unfiltered :
unfiltered.joindns4.eu
Escenario 3: Navegadores - DoH, si lo controlas
Objetivo: evitar escucha/redirección DNS en redes "opacas", o impedir que el navegador se vaya a otro DNS.
Usa la URL DoH de tu variante:
- Protective :
https://protective.joindns4.eu/dns-query - Child :
https://child.joindns4.eu/dns-query - NoAds :
https://noads.joindns4.eu/dns-query - Child+NoAds :
https://child-noads.joindns4.eu/dns-query - Unfiltered :
https://unfiltered.joindns4.eu/dns-query
Trampa clásica: configuras DNS4EU en el router, pero el navegador fuerza DoH hacia otro proveedor. Resultado: filtrado incoherente y diagnóstico difícil.
Verificar que DNS4EU se usa realmente (y diagnosticar)
No te fíes de "Internet funciona". Verifica el resolvedor y la variante.
Test rápido con dig / nslookup
Con dig:
# Ejemplo: consultar explícitamente la variante Protective
dig @86.54.11.1 www.captaindns.com A +tries=1 +time=2
Con nslookup:
nslookup captaindns.com
En Linux con systemd-resolved:
resolvectl status
Página de test DNS4EU (perfil Protective)
DNS4EU ofrece una página de test: https://test.joindns4.eu.
- Si estás en el perfil Protective, la página debe confirmar que usas los resolvedores DNS4EU.
- Si pruebas otra variante (Child/NoAds/Unfiltered), mejor usa el test de fuga DNS y
dig/nslookup.
Verificar que no haya "fuga DNS" o interceptación
Una red (Wi-Fi público, hotspot, red corporativa) puede interceptar/redirigir DNS. El síntoma típico: tus ajustes son correctos, pero los resolvedores vistos "desde fuera" no corresponden.
Método simple:
- haz un test de fuga DNS (modo "Extended");
- comprueba que las IP observadas correspondan a DNS4EU;
- revisa también el DoH del navegador (algunos navegadores se saltan el DNS del sistema).
Si no funciona: 4 causas frecuentes
- Caché DNS (SO/navegador): limpia + reinicia red.
- IPv6 no cubierto: IPv4 en DNS4EU, pero IPv6 resuelve en otro sitio.
- DoH del navegador activo: el navegador se salta tu configuración del sistema.
- Anti-publicidad demasiado agresiva: prueba sin ad blocking para aislar.
Trampas y buenas prácticas (versión corta)
- No mezcles variantes en DNS1/DNS2.
- Cubre IPv6 si lo usas (si no, fuga e incoherencia).
- Decide dónde controlas el DNS cifrado: SO, router, navegador.
- Anti-publicidad: prueba primero en un dispositivo piloto + plan de respaldo.
- Pyme / nombres internos: sin split-horizon, un DNS público romperá tus nombres privados.
Desplegar DNS4EU sin errores
- Elegir la variante
- Hogar: empieza con Protective (o Child si hay niños).
- Añade Ad Blocking solo si puedes probar y solucionar (riesgo de fallos).
- Configurar en el router (DNS1 + DNS2) y cubrir IPv6
- Pon las dos IP de la misma variante en IPv4.
- Si tienes IPv6, añade también los DNS IPv6 correspondientes.
- Gestionar dispositivos fuera de casa
- Android: configura DNS privado (DoT) con el hostname de la variante.
- PC: revisa el "Secure DNS" (DoH) del navegador para evitar desvíos.
- Verificar y documentar
- Prueba con
dig/nslookup+ un test de fuga DNS. - Anota la variante, direcciones y procedimiento de vuelta atrás.
- Prueba con
- Prever un respaldo
- Mantén una opción Unfiltered (DNS4EU) o un DNS alternativo listo para resolver sin improvisar.
Alternativas, si DNS4EU no es adecuado
- Seguridad (phishing/malware) sin filtrado de contenido/publicidad: Quad9 (9.9.9.9).
- Anti-publicidad/anti-tracking con foco en privacidad: AdGuard DNS.
- Perfiles muy personalizados (listas, horarios, dispositivos): NextDNS (o control DNS local tipo Pi-hole).
- Rendimiento bruto: Cloudflare o Google (con el compromiso de "jurisdicción/recogida" que encaje en tu estrategia).
FAQ
¿DNS4EU es obligatorio para los ciudadanos europeos?
No. DNS4EU es un servicio voluntario: puedes elegir otro resolvedor DNS en cualquier momento. El objetivo declarado es ofrecer una alternativa, no imponer un DNS único.
DNS4EU: ¿más DNS familiar o empresarial?
El servicio público apunta a usos individuales (hogar). Para una organización, DNS4EU indica que el servicio público no está optimizado para grandes volúmenes y remite a ofertas dedicadas.
¿Qué variante elegir para proteger a los niños?
Empieza con Protective + Child Protection. Añade la anti-publicidad solo si puedes probar, porque algunas apps/sitios pueden reaccionar mal a dominios bloqueados.
DoH o DoT: ¿cuál elegir con DNS4EU?
Si tu SO lo soporta, DoT suele ser más fácil de diagnosticar (Android "DNS privado"). DoH es útil en navegadores y en redes que filtran 853, pero ojo: puede saltarse tu DNS del router.
¿DNS4EU vuelve anónima la navegación?
No. El DNS cifrado (DoH/DoT) protege el tráfico DNS en la red, pero el resolvedor sigue viendo los dominios que resuelves. La idea es reducir la exposición local y contar con una política de tratamiento más protectora.
¿Por qué se rompen sitios/apps con la anti-publicidad?
El DNS bloquea algunos dominios de publicidad/trackers. Si un sitio o una app depende de esos dominios (o detecta ad blocking), puede no cargar. Prueba la variante sin anti-publicidad o guarda un respaldo (Unfiltered u otro DNS).
¿Cómo verificar que estoy en DNS4EU y no interceptado?
Haz un dig/nslookup y completa con un test de fuga DNS: debes ver IP de resolvedores DNS4EU. Verifica también el DoH del navegador, que puede saltarse la configuración del sistema.
Glosario
- Resolvedor DNS (recursivo): servidor que resuelve nombres de dominio y cachea respuestas.
- Do53: DNS clásico en UDP/TCP puerto 53 (sin cifrar).
- DoT (DNS-over-TLS): DNS cifrado vía TLS (normalmente puerto 853).
- DoH (DNS-over-HTTPS): DNS cifrado encapsulado en HTTPS (puerto 443).
- Anycast: la misma IP anunciada desde varios sitios; el enrutamiento suele enviarte a un nodo cercano.
- DNSSEC: firmas de zonas DNS que permiten validar la autenticidad de las respuestas.
- Split-horizon: resolución DNS diferente según la red (p. ej., dominios internos en empresa).
- Test de fuga DNS: prueba que revela qué resolvedores DNS usa realmente tu dispositivo.
