DynIP: DDNS con RFC 2136 TSIG, IPv6 nativo y TTL de 60 segundos

⏱️ Lectura: 12 min

El DNS dinámico parece un problema resuelto desde los noventa, pero la realidad operativa de un homelab moderno en 2026 es muy distinta. DynIP propone un servicio de DNS dinámico construido sobre estándares abiertos —RFC 2136 TSIG, DNSSEC, IPv6 nativo— con una promesa concreta: propagar cambios de IP en menos de 60 segundos en lugar de los típicos 30 minutos que arrastran proveedores como No-IP o DynDNS.

📑 En este artículo

1. TL;DR
2. Qué es DynIP y por qué resuelve un problema real
3. El problema con el DDNS tradicional
4. Cómo funciona DynIP: RFC 2136 TSIG explicado
5. IPv6 y CGNAT: la realidad LATAM en 2026
6. Configuración práctica: ejemplos para Linux, macOS y Windows
   1. Linux (bash + cURL)
   2. macOS (cron + curl)
   3. Windows (PowerShell programado)
   4. MikroTik RouterOS con RFC 2136 TSIG
7. DNSSEC: seguridad sin configurarla a mano
8. Comparación con alternativas comunes
9. Cuándo usar DynIP y cuándo no
10. Preguntas frecuentes
    1. ¿Necesito tener mi propio dominio para usar DynIP?
    2. ¿Funciona si estoy detrás de CGNAT?
    3. ¿Qué diferencia hay con DuckDNS o No-IP?
    4. ¿Es seguro exponer servicios caseros a internet con un DDNS?
    5. ¿Puedo usar DNSSEC sin tocar nada manualmente?
    6. ¿Cuánto cuesta el tier gratuito y qué incluye?
11. Referencias

Para una región como Latinoamérica, donde el CGNAT en IPv4 es la norma y el IPv6 nativo avanza con fuerza en operadores como Claro, Tigo y Movistar, esta combinación importa más que nunca.

TL;DR

• DynIP propaga actualizaciones DNS en menos de 60 segundos end-to-end, frente a los 30 minutos típicos de proveedores tradicionales.
• Implementa RFC 2136 TSIG: cualquier router que hable DNS UPDATE funciona sin clientes propietarios ni vendor lock-in.
• Soporta registros A y AAAA simultáneamente, IPv6-only y dual-stack, alineado con la realidad de los ISPs LATAM modernos.
• Permite traer tu propio dominio en lugar de obligarte a usar un subdominio del proveedor.
• DNSSEC habilitado por defecto y nameservers en múltiples regiones para baja latencia global.
• Tier gratuito generoso pensado para homelabs, edge routers e infraestructura personal.
• Compatible nativamente con FortiGate, MikroTik (RouterOS), OPNsense, OpenWRT, pfSense y cualquier hardware que entienda DNS UPDATE.

Qué es DynIP y por qué resuelve un problema real

El DNS dinámico (DDNS) existe para conectar un hostname estable —algo como casa.midominio.dev— a una IP pública que cambia cada vez que el ISP renueva tu lease, reinicias el router o un mantenimiento de la operadora rota tu salida CGNAT. Es la pieza que mantiene accesible un servidor Plex en tu casa, un Home Assistant remoto, un servidor de juegos casero, o el portal de SSH al que entrás desde el café.

El problema es que los servicios de DDNS clásicos llevan dos décadas estancados. Cachés de 30 minutos en los TTL, clientes propietarios que no se actualizan, subdominios feos tipo tu-host.no-ip.biz y soporte tibio para IPv6. DynIP apunta exactamente a esos puntos débiles, ofreciendo un servicio que un sysadmin reconoce como construido sobre RFCs en lugar de hacks propietarios.

El problema con el DDNS tradicional

Para entender por qué DynIP existe vale revisar qué falla en la oferta actual del mercado:

• TTL largo — La mayoría de los proveedores configuran TTLs de 1800 segundos (30 min) o más. Si tu IP cambia a las 3:00 AM, los resolvers globales no se enteran hasta las 3:30 AM, y los resolvers cacheados de los ISPs pueden tardar aún más.
• Clientes propietarios — No-IP, DynDNS y Dyn requieren su cliente oficial o un protocolo HTTP custom. Si tu hardware no está soportado, te las arreglás con scripts frágiles que rompen cada vez que el proveedor cambia el endpoint.
• Sin IPv6 decente — Muchos servicios todavía tratan AAAA como ciudadano de segunda. En 2026, con IPv6 superando el 50% en Google a nivel global, esto es absurdo.
• Sin DNSSEC — Para servicios que exponen autenticación, telemetría o paneles administrativos, la falta de DNSSEC abre la puerta a envenenamiento de caché y ataques MITM regionales.
• Vendor lock-in — Te obliga a usar su subdominio o pagar un upgrade. Tu identidad de red queda atada al proveedor.

Cómo funciona DynIP: RFC 2136 TSIG explicado

La pieza técnica más interesante de DynIP es que habla DNS dinámico estándar. El RFC 2136 define cómo un cliente puede enviar actualizaciones a un servidor DNS autoritativo usando el mismo protocolo DNS sobre UDP/53. No es una API HTTP custom: es DNS UPDATE puro, autenticado con TSIG (Transaction Signature), un HMAC compartido entre cliente y servidor.

Esto significa que cualquier dispositivo que entienda DNS UPDATE puede integrarse sin un cliente propietario. FortiGate, MikroTik RouterOS, OPNsense, pfSense, OpenWRT, Cisco IOS — todos hablan este protocolo desde hace años. El DNS dinámico sobre RFC 2136 elimina el ciclo de “instalar el cliente del proveedor → mantenerlo actualizado → debuggear cuando rompe tras una actualización del firmware”.

graph LR
  A["Router detecta cambio de IP"] --> B["Envía DNS UPDATE con TSIG"]
  B --> C["DynIP valida HMAC"]
  C --> D["Multi-region nameservers"]
  D --> E["Resolvers globales actualizados en menos de 60s"]

💭 Clave: el modelo TSIG es lo opuesto a una API REST con bearer token. La autenticación viaja en el mismo paquete DNS y el servidor rechaza el UPDATE antes de procesar nada si la firma no valida. Menos superficie de ataque y menos código que mantener.

IPv6 y CGNAT: la realidad LATAM en 2026

El argumento más fuerte de DynIP para una audiencia latinoamericana no es el TTL ni el TSIG, es el soporte de IPv6 como ciudadano de primera clase. La situación de conectividad en la región se puede resumir en una frase: casi todos los hogares con fibra reciben IPv6 nativo, casi ninguno recibe IPv4 pública sin CGNAT.

Operadores como Claro Colombia, Tigo Star, Movistar Perú, Internet por Cable de México y muchos WISPs regionales entregan dual-stack con CGNAT del lado de IPv4. ¿El resultado? Tu IPv4 pública es compartida con cientos de clientes, no podés abrir puertos hacia ella, y los protocolos de DDNS clásicos quedan inútiles. Pero tu IPv6 sí es ruteable y única.

DynIP soporta tres modos en paralelo:

• A solo — IPv4 clásico cuando todavía tenés IP pública sin CGNAT.
• AAAA solo — IPv6-only, ideal cuando estás detrás de CGNAT y solo IPv6 te llega ruteable.
• Dual-stack A + AAAA — Cuando la red lo permite y querés alcanzar al máximo de clientes.

Esta flexibilidad es lo que hace viable el self-hosting moderno en LATAM sin pasar por VPN o túneles tipo Tailscale Funnel o Cloudflare Tunnel para los casos donde el control directo es deseable.

Configuración práctica: ejemplos para Linux, macOS y Windows

El stack típico de DynIP es un HTTP POST simple para los casos básicos y DNS UPDATE para los avanzados. Aquí los snippets que vas a usar en la práctica del día a día.

Linux (bash + cURL)

#!/usr/bin/env bash
# Actualiza el A record con la IPv4 pública detectada
DOMAIN="casa.midominio.dev"
TOKEN="tu-token-dynip"
IP=$(curl -s https://api.ipify.org)

curl -X POST "https://api.dynip.dev/v1/update" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d "{\"domain\":\"$DOMAIN\",\"ipv4\":\"$IP\"}"

macOS (cron + curl)

# Crontab cada 5 minutos
*/5 * * * * /usr/local/bin/dynip-update.sh >> /tmp/dynip.log 2>&1

Windows (PowerShell programado)

$Token = "tu-token-dynip"
$Domain = "casa.midominio.dev"
$IP = (Invoke-RestMethod -Uri "https://api.ipify.org").Trim()

$body = @{ domain = $Domain; ipv4 = $IP } | ConvertTo-Json
Invoke-RestMethod -Uri "https://api.dynip.dev/v1/update" `
  -Method Post `
  -Headers @{ Authorization = "Bearer $Token" } `
  -Body $body -ContentType "application/json"

MikroTik RouterOS con RFC 2136 TSIG

/ip dns dynamic-update
add address-list=public-ip dns-server=ns1.dynip.dev \
    key="HMAC-SHA256:base64keymaterial" key-name="tsig-casa" \
    zone="midominio.dev"

💡 Tip: si tu router cambia de IP varias veces al día (típico en ISPs con leases cortos), preferí RFC 2136 TSIG sobre HTTP. El overhead es menor, la autenticación es más estricta y no dependés de un cliente userspace que pueda colgarse silenciosamente.

DNSSEC: seguridad sin configurarla a mano

DNSSEC firma criptográficamente las respuestas DNS para que los resolvers puedan verificar que nadie envenenó la caché en el camino. Configurarlo manualmente implica generar claves KSK y ZSK, registrar registros DS en el dominio padre, rotar claves periódicamente y manejar errores que pueden dejar el dominio inaccesible durante horas.

DynIP automatiza todo el ciclo: genera las claves, las publica en la zona padre y firma todos los registros automáticamente. Para un homelab que expone un dashboard de Home Assistant o un panel administrativo, esto cierra un vector de ataque real —DNS spoofing en redes públicas o en ISPs comprometidos— sin que tengas que volverte experto en BIND ni en herramientas como dnssec-keygen.

⚠️ Ojo: DNSSEC protege la integridad de la resolución DNS, no la del servicio que está detrás. Seguís necesitando TLS válido (Let’s Encrypt está bien), autenticación fuerte y un reverse proxy bien configurado para que un atacante no entre por la puerta.

Comparación con alternativas comunes

El panorama de DDNS en 2026 tiene varias opciones, cada una con compromisos distintos:

• No-IP / DynDNS — Tradicionales, TTL alto, clientes propios, IPv6 mediocre. Bueno para PCs casuales, malo para infraestructura seria.
• DuckDNS — Gratuito, simple, comunidad activa. Pero TTL fijo, sin DNSSEC, sin bring-your-own-domain.
• Cloudflare API + script — Si ya usás Cloudflare como autoritativo, podés mantener tus records con un script vía API. Funciona bien pero implica que vos manejás la lógica, los retries y la programación de la tarea.
• DynIP — Estándares abiertos, propagación rápida, IPv6 nativo, DNSSEC automático. El compromiso es que es un servicio nuevo y todavía no tiene la inercia de comunidad de No-IP.

Cuándo usar DynIP y cuándo no

No es una solución universal. Hace sentido cuando:

• Tenés un homelab con IPs dinámicas y querés un hostname propio que propague rápido.
• Tu ISP te entrega IPv6 nativo y querés explotar AAAA en lugar de luchar contra el CGNAT en IPv4.
• Tu hardware de red ya habla RFC 2136 TSIG y querés evitar instalar clientes propietarios.
• Necesitás DNSSEC pero no querés operar BIND vos mismo.

No es la herramienta correcta cuando:

• Necesitás DNS autoritativo para una zona de producción con SLAs comerciales — para eso, AWS Route 53, Cloudflare DNS o NS1 son la respuesta.
• Tu caso de uso es solo “que mi PC tenga un hostname accesible desde afuera” y un túnel Cloudflare o Tailscale resuelve mejor sin exponer puertos.
• Querés evitar dependencias de proveedores third-party y preferís correr tu propio BIND con UPDATE habilitado en una VPS.

📖 Resumen en Telegram: Ver resumen

Preguntas frecuentes

¿Necesito tener mi propio dominio para usar DynIP?

El servicio permite traer tu propio dominio (bring-your-own-domain), pero también ofrece subdominios bajo dynip.dev en el tier gratuito. Para uso profesional, llevar tu propio dominio es lo recomendable porque no quedás atado al proveedor: si mañana querés migrar, simplemente cambiás los NS en tu registrar.

¿Funciona si estoy detrás de CGNAT?

Para IPv4 puro, no. Si tu ISP te entrega solo CGNAT en IPv4, las conexiones entrantes no llegan a tu router sin importar qué DDNS uses. La buena noticia es que la mayoría de los ISPs LATAM que hacen CGNAT en IPv4 entregan IPv6 nativo ruteable, y ahí DynIP brilla con su soporte de registros AAAA.

¿Qué diferencia hay con DuckDNS o No-IP?

Tres cosas principales: propagación más rápida (60 segundos vs 30 minutos), soporte de RFC 2136 TSIG nativo (vs clientes propietarios) y DNSSEC automático (los otros no lo ofrecen sin pagar). Para uso casual la diferencia es marginal; para infraestructura seria, es significativa.

¿Es seguro exponer servicios caseros a internet con un DDNS?

El DDNS por sí mismo no introduce vulnerabilidades. Lo que importa son los servicios que exponés detrás del hostname. Para SSH, deshabilitá password auth y usá claves. Para paneles web, ponelos detrás de un reverse proxy con autenticación fuerte. DNSSEC ayuda a que un atacante no pueda redirigir tu hostname a su servidor, pero no protege el servicio en sí.

¿Puedo usar DNSSEC sin tocar nada manualmente?

Sí. DynIP genera las claves KSK y ZSK, las publica en la zona padre automáticamente y firma todos los registros. Es una configuración de un solo clic en la interfaz, lo cual contrasta fuerte con la experiencia tradicional de DNSSEC, históricamente conocida por dejar dominios offline cuando se rotan mal las claves.

¿Cuánto cuesta el tier gratuito y qué incluye?

Según la documentación oficial, el tier gratuito permite múltiples zonas y actualizaciones ilimitadas con propagación completa, DNSSEC y RFC 2136. Los tiers pagos agregan más zonas, soporte prioritario y funcionalidades enterprise como métricas de propagación y multi-usuario.

Referencias

• DynIP — Dynamic DNS for homelabs and infrastructure — Sitio oficial con documentación, snippets de configuración y planes.
• RFC 2136: Dynamic Updates in the Domain Name System — Especificación oficial del protocolo DNS UPDATE.
• RFC 8945: Secret Key Transaction Authentication for DNS (TSIG) — Especificación actualizada del mecanismo de autenticación TSIG.
• Wikipedia — DNS dinámico — Contexto histórico y conceptual del DDNS.

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.