Dominio a IP cuando hay CDN
ip dominio cdn · cdn ip dominio · ip origen dominio
Por qué un dominio detrás de CDN muestra IPs del proxy y cómo comprobar origen, DNS, WHOIS y cabeceras.
Por DN01 Network Team
Cuando un dominio usa CDN, el lookup de IP normalmente devuelve direcciones del proveedor de borde, no del servidor de origen. Eso no es un error: el navegador conecta al edge más cercano o disponible, y el CDN reenvía la petición internamente. El problema aparece cuando alguien interpreta esa IP como hosting real o como prueba de propiedad.
Use /find-ip-address para ver las IPs públicas actuales, Comprobador DNS para confirmar CNAME, A, AAAA y TTL, y Comprobador de cabeceras HTTP para leer señales de proxy, caché y redirección. Si necesita contexto de red o dominio, añada WHOIS al informe.
Este flujo es útil durante migraciones a CDN, cambios de proveedor, incidentes regionales y revisiones de seguridad donde el origen no debe quedar expuesto.
Por qué la IP no es el origen
Un CDN publica direcciones propias para absorber tráfico, aplicar TLS, filtrar ataques y servir caché. El origen puede estar en otra red y no aparecer en DNS público. Por eso buscar la IP de dominio no basta para saber dónde vive la aplicación.
En algunos despliegues el apex usa A o AAAA del CDN, mientras www usa CNAME. En ambos casos, la IP pública que verá el usuario pertenece al borde. La señal importante es si todas las rutas devuelven el contenido correcto.
Comprobaciones que debe combinar
Primero, confirme las IPs con /find-ip-address. Segundo, mire los registros completos y TTL en Comprobador DNS. Tercero, use Comprobador de cabeceras HTTP para observar cabeceras como cache status, server, via, location y políticas HSTS.
Si el ASN o proveedor no coincide con lo esperado, busque la IP en WHOIS. Una respuesta de Cloudflare, Fastly, Akamai u otro edge puede ser correcta; una mezcla inesperada entre proveedor viejo y nuevo puede indicar propagación incompleta.
Riesgos durante migraciones
Los errores frecuentes son dejar registros antiguos en un subdominio, publicar AAAA solo en un proveedor, olvidar certificados para el hostname o mover DNS antes de configurar reglas de origen. Cada fallo puede afectar solo una región o protocolo.
Durante el cambio, guarde resultados antes y después. Si soporte recibe quejas, podrá distinguir caché DNS, edge mal configurado, origen caído o cabeceras de redirección incorrectas.
Buenas prácticas
Mantenga inventario de dominios, CDN, origen y TTL. No dependa de memoria tribal para saber qué IP debería aparecer. Documente si la IP pública pertenece al CDN y qué equipo administra el origen.
Revise periódicamente que no haya bypass directo al origen, sobre todo si el servidor acepta tráfico público. DNS, WHOIS y cabeceras HTTP ofrecen señales rápidas antes de una auditoría más profunda.
Preguntas frecuentes
- ¿Una IP de CDN oculta siempre el origen?
Oculta el origen en DNS público, pero el origen puede filtrarse por registros antiguos, certificados, logs o configuraciones externas.
- ¿Es malo que cambie la IP del CDN?
No. Muchos CDN rotan o responden por región. Lo importante es que sirvan el dominio correcto.
- ¿Cómo detecto mezcla de proveedores?
Compare A, AAAA, CNAME, ASN y cabeceras HTTP antes y después del cambio.