Recibes el temido mensaje “Failed to request yggdrasil public key – Cannot contact authentication server” tras cambiar de router y tu servidor de Minecraft deja de aceptar inicios de sesión. A continuación tienes la guía definitiva para aislar la causa y devolver la estabilidad a tu mundo cúbico sin sacrificar la seguridad de tu red.
Diagnóstico rápido del error
Antes de desmontar medio sistema, inicia sesión en la misma máquina que aloja el servidor y ejecuta:
curl -v https://sessionserver.mojang.com/check
curl -v https://authserver.mojang.com/Si el comando se bloquea en “Trying …” o devuelve NXDOMAIN, algo —habitualmente el nuevo router— está filtrando la salida en el puerto 443 o manipulando la resolución DNS.
Por qué ocurre el fallo de autenticación de Yggdrasil
Yggdrasil es el sistema de identidad de Mojang/Microsoft. Durante la negociación TLS tu servidor descarga la clave pública para verificar tokens JWT. Cualquier obstáculo en esos microsegundos (firewall agresivo, fecha equivocada, DPI, proxy interceptando SSL, malware, DNS hijacking) eleva el error de la biblioteca authlib y bloquea las conexiones.
Solución paso a paso
Arranque limpio de Windows
Desactiva todo software adicional (antivirus de terceros, VPN, aceleradores de juego, proxys corporativos) mediante msconfig → Servicios → Ocultar servicios de Microsoft → Deshabilitar todo. Reinicia. Si la autenticación funciona, alguna de esas utilidades estaba aplicando MITM TLS.
Comprobar acceso HTTPS a los dominios de Mojang
Desde la consola del host:
ping authserver.mojang.com
ping sessionserver.mojang.com
tracert authserver.mojang.comUn Request timed out o salto que termina en tu router indica bloqueo saliente. En tal caso pasa a la sección Filtrado “inteligente” del router.
Verificar fecha y hora
Abre Configuración → Hora e idioma → Sincronizar ahora o ejecuta:
w32tm /resync
wmic os get LocalDateTimeUna desviación de ±5 min ya invalida los certificados Let’s Encrypt que usa Mojang. Ajusta también el reloj interno del router o forzará la hora equivocada al DHCP.
Filtrado “inteligente” del router
La mayoría de routers modernos incluye módulos como “DNS Rebind Protection”, “Safe Surf”, “Parental Control”, “DoS Protection”, “AI‑Protection”. Desactívalos temporalmente:
- Entra en la interfaz web del router.
- Busca menús Security / Firewall / Advanced.
- Desmarca inspección profunda de paquetes (DPI) y filtrado HTTPS (SNI inspection).
- Guarda, reinicia y repite la prueba con
curl.
Cambiar a DNS públicos
En el adaptador de red de Windows:
Preferred DNS: 1.1.1.1
Alternate DNS: 8.8.8.8Después ejecuta ipconfig /flushdns y reinicia el servidor de Minecraft.
Revisar el archivo hosts
Abre C:\Windows\System32\drivers\etc\hosts con Bloc de notas (modo administrador) y elimina cualquier línea que contenga mojang.com, minecraft.net, 0.0.0.0 o 127.0.0.1.
Probar desde otra red
Activa un hotspot móvil y conecta el servidor o tu cliente de test. Si la autenticación se restablece, el culpable es tu ISP o el router. Solicita desbloqueo de puertos salientes 443/25565 a tu proveedor si es necesario.
Actualizar Java y controladores de red
Minecraft 1.20+ exige TLS 1.3 que no negocia correctamente con Java 8u51 o inferiores.
java -versionSi ves 1.8.0_51 o previo, actualiza a la última Temurin JDK 17 LTS. Haz lo mismo con los drivers del chipset y la tarjeta de red para eliminar bugs de firmware.
Restablecer el router a valores de fábrica
Cuando todo lo anterior falla, guarda la configuración, pulsa el botón Reset (10 s) y reconfigura solo lo esencial: SSID, contraseña Wi‑Fi y PPPoE. Luego repite las pruebas.
Puertos y cortafuegos salientes
Yggdrasil opera exclusivamente en TCP 443.
| Servicio | Puerto | Dirección |
|---|---|---|
| authserver.mojang.com | 443/tcp | saliente |
| sessionserver.mojang.com | 443/tcp | saliente |
| textures.minecraft.net | 443/tcp | saliente |
Asegúrate de que no existan reglas OUT que filtren 443 para el rango 13.32.0.0/15 (AWS CloudFront) o 52.84.0.0/15 (Akamai).
Monitorear con Wireshark
Captura solo el tráfico de la IP del servidor con el filtro:
(tcp.port == 443) && (ip.dst == 0.0.0.0/0)Reproduce el fallo y comprueba si ves paquetes RST provenientes de la puerta de enlace o simplemente no sale ningún SYN. Con esta prueba confirmas si tu PC, el router o tu ISP realiza la interrupción.
Checklist resumido
| Acción | Resultado esperado | Estado |
|---|---|---|
| Boot limpio | El servidor autentica | |
| Ping a authserver | TTL < 100 ms | |
| Hora sincronizada | ±1 s | |
| DNS 1.1.1.1/8.8.8.8 | Resuelve correctamente | |
| Filtrado router OFF | No hay bloqueo | |
| Java 17 LTS | TLS 1.3 OK |
Preguntas frecuentes
¿Es peligroso desactivar temporalmente el firewall o el DPI?
La desactivación es solo para prueba aislada. Anota cambios y reactiva capa por capa hasta localizar la regla conflictiva.
¿Puedo ignorar la autenticación usando modo offline?
Sí, pero supone riesgo de cuentas crackeadas y rompe skins. La guía soluciona el problema de raíz para mantener modo online.
¿Funciona igual en Linux?
La lógica de red es idéntica: revisa /etc/hosts, systemd‑timesyncd y cortafuegos iptables o nftables.
Conclusión
En casi todos los casos el error “Cannot contact authentication server” surge por tres causas: DNS envenenado, inspección HTTPS del router, o fecha/hora incorrectas. Siguiendo la ruta de diagnóstico —limpiar inicio, probar resolución, revisar hora, desactivar filtros y forzar DNS públicos— el servidor recupera la comunicación con Yggdrasil y tus jugadores podrán volver a entrar sin interrupciones. Mantén una copia de esta checklist pegada a tu panel de administración y ahórrate horas de frustración la próxima vez que actualices hardware de red.