Cómo funciona el DNS split-horizon en casa

¿Te has preguntado alguna vez por qué a veces, estando en la oficina, no puedes acceder a la web de tu propia empresa usando la dirección pública? Es un quebradero de cabeza clásico. El DNS split-horizon, también conocido como DNS de cerebro dividido, es la herramienta técnica que viene a solucionar este lío, permitiendo que un mismo nombre de dominio nos lleve a sitios diferentes dependiendo de dónde estemos conectados.

Básicamente, se trata de que el servidor de nombres sea capaz de distinguir si quien pregunta está dentro de la red corporativa o si viene desde el exterior, como el Internet público. Así, en lugar de dar siempre la misma dirección IP, el servidor juega con las respuestas para que el tráfico fluya de la manera más eficiente y segura posible, evitando rutas absurdas que solo ralentizan la conexión.

El problema del acceso interno y la alternativa del Hairpin NAT

Cuando publicamos un servicio, como un servidor web, este suele tener una IP pública para que cualquier persona en el mundo pueda entrar. El problema surge cuando un usuario que ya está en la red local intenta acceder a ese mismo servicio usando el dominio público. Normalmente, el DNS le devolverá la IP pública de salida, y el dispositivo intentará salir a internet para volver a entrar inmediatamente, algo que muchas veces falla porque el router no sabe gestionar ese retorno.

Para arreglar esto, existe el Hairpin NAT (o NAT Loopback), que consiste en forzar al router a traducir la IP pública de destino en una IP interna y viceversa. Aunque funciona, es como dar un rodeo innecesario. En equipos Cisco, por ejemplo, requiere configurar ACLs y reglas de NAT específicas, mientras que en Mikrotik se hace mediante reglas de src-nat y dst-nat para enmascarar el tráfico y que el servidor no se confunda con la IP de origen.

¿Cómo funciona realmente el DNS Split-Horizon?

A diferencia del NAT, el DNS split-horizon ataca el problema desde la raíz: la resolución del nombre. En lugar de engañar al paquete de datos una vez que ya ha salido, el servidor DNS entrega una respuesta distinta según la IP de quien hace la consulta. Si el cliente es interno, el DNS le dice: «el servidor está en la 10.0.0.3». Si el cliente es externo, le responde: «está en la 172.16.16.1».

Esto es especialmente útil en entornos donde se separan las fases de desarrollo, corporativo y producción. Permite que los desarrolladores accedan a sus entornos de prueba usando el mismo nombre de dominio que el público, pero apuntando a servidores internos sin exponer los servicios de desarrollo a todo el mundo por razones de seguridad y privacidad.

Implementación técnica en diferentes plataformas

Existen diversas maneras de montar un sistema DNS split-horizon, dependiendo del hardware o el software que tengas a mano. Podemos hablar de una separación física (servidores distintos) o una separación lógica mediante software.

• BIND9 en Linux: Se utiliza el concepto de vistas (views). Mediante la configuración de ACLs, el servidor define qué rangos de IP pertenecen a la vista «internal» y cuáles a la «external». Cada vista tiene sus propios archivos de zona, lo que permite que empresa.com resuelva a una IP privada para los empleados y a una pública para el resto.
• Windows Server: Utiliza las Directivas DNS y los ámbitos de zona. En lugar de montar dos servidores, se crean instancias de la zona (Zone Scopes) dentro del mismo servicio. El administrador define una política donde, si la consulta llega por una interfaz de red específica (la IP privada del servidor), se entrega el ámbito interno.

Un aspecto avanzado en Windows Server es el control de recursividad selectiva. Esto evita que el servidor sea un «open resolver» (solucionador abierto), lo que podría dejarlo vulnerable a ataques de denegación de servicio o reflejo. De esta forma, el servidor solo hace resoluciones recursivas para los usuarios internos, mientras que para los externos solo actúa como servidor autoritativo de sus propias zonas.

Consideraciones sobre registros A y redes Mesh

Para entender todo esto, es vital recordar que el registro A (Address record) es la pieza fundamental que traduce el nombre legible por humanos en una dirección IP numérica. En un entorno de cerebro dividido, tenemos esencialmente dos registros A diferentes para la misma etiqueta de host.

En implementaciones modernas como las VPN Mesh (por ejemplo, Netbird), surge el deseo de mantener un naming consistente. El objetivo es que un «Road Warrior» (usuario remoto) acceda al servicio mediante el mismo nombre DNS ya sea que esté en la LAN o conectado vía malla. Si está en la oficina, recibe la IP de la LAN; si está en un café con WiFi público, el DNS debería darle la dirección de la malla para mantener la conectividad sin cambiar la URL.

La gestión de un sistema DNS split-horizon permite eliminar la latencia al evitar que el tráfico pase por routers innecesarios y mejora la seguridad al ocultar la topología interna de la red a los usuarios externos. Solo es necesario mantener sincronizadas las vistas o ámbitos para que no haya inconsistencias en la navegación.

La adopción de un DNS split-horizon es la estrategia más limpia para gestionar la dualidad de IPs privadas y públicas, permitiendo que los usuarios internos naveguen con máxima velocidad y eficiencia mientras el mundo exterior sigue accediendo a los servicios a través de las puertas públicas, todo ello sin complicaciones de NAT y con un control total sobre la recursividad y la visibilidad de la red.