Cómo instalar Hermes IA en Coolify y acceder a su dashboard desde tu propio dominio (Guía completa 2026)

Si has llegado hasta aquí es porque quieres tener tu propio agente de IA Hermes funcionando 24/7 en tu servidor, con su panel web accesible desde un dominio bonito como jarvis.tudominio.com y protegido con contraseña. Y probablemente ya te has dado cuenta de algo: la documentación oficial está repartida en mil sitios y nadie explica el proceso completo de principio a fin.

Esta guía resuelve exactamente eso. Si la sigues al pie de la letra, al terminar tendrás:

• Hermes IA instalado y corriendo de forma permanente en Coolify.
• Su dashboard web accesible desde tu propio dominio con HTTPS.
• Una pantalla de login que protege el acceso, gracias a Cloudflare Access.
• Todo expuesto sin abrir un solo puerto en tu servidor, usando Cloudflare Tunnel.

No necesitas ser administrador de sistemas. Solo necesitas saber copiar, pegar y leer con atención. Vamos a ello.

Tabla de contenidos

1. ¿Qué es Hermes IA y por qué desplegarlo en tu propio servidor?
2. Requisitos previos
3. Paso 1: Entiende la arquitectura de Hermes (la clave de todo)
4. Paso 2: Crea el recurso en Coolify
5. Paso 3: El archivo Docker Compose de Hermes
6. Paso 4: Configura las claves de API
7. Paso 5: Despliega y verifica que funciona
8. Paso 6: Expón el dashboard con tu dominio personalizado
9. Paso 7: Protege el acceso con Cloudflare Access
10. Paso 8: Configura Hermes desde el dashboard
11. Mantenimiento y actualizaciones (no te saltes esta sección)
12. Solución de problemas comunes
13. Preguntas frecuentes
14. Conclusión

¿Qué es Hermes IA y por qué desplegarlo en tu propio servidor?

Hermes Agent es un agente de inteligencia artificial creado por Nous Research. A diferencia de un chatbot normal, Hermes es un agente autónomo con un bucle de aprendizaje propio: crea sus propias habilidades a partir de la experiencia, las mejora con el uso y construye un modelo cada vez más completo de quién eres tú a lo largo de las conversaciones.

Lo interesante es que vive donde tú lo pongas: un VPS de 5 €, un servidor en casa o infraestructura en la nube. Puedes hablar con él desde Telegram, Discord, Slack o WhatsApp mientras él trabaja en segundo plano, y además dispone de un panel web (dashboard) para gestionarlo cómodamente.

¿Por qué instalarlo en tu propio servidor en lugar de usar un servicio gestionado?

• Privacidad y control: tus datos, tu memoria del agente y tus claves de API se quedan en tu máquina.
• Coste predecible: solo pagas por los tokens del proveedor de IA que conectes (Anthropic, OpenAI, OpenRouter o Google). El agente en sí no tiene cuota mensual.
• Disponibilidad 24/7: a diferencia de tenerlo en tu portátil, en un servidor está siempre encendido.

Y para gestionar todo esto sin pelearte con la terminal, usaremos Coolify, una plataforma open source de autohospedaje que funciona como una alternativa a Heroku o Vercel pero en tu propio servidor.

Requisitos previos

Antes de empezar, asegúrate de tener lo siguiente. Esta guía da por hecho que ya tienes Coolify funcionando; instalar Coolify es un proceso aparte y bien documentado en su web oficial.

Consejo: si todavía no tienes ningún proveedor de IA, OpenRouter es una buena opción para empezar porque te da acceso a muchos modelos con una sola clave.

Paso 1: Entiende la arquitectura de Hermes (la clave de todo)

Este es el paso que casi nadie explica y el motivo por el que tanta gente se queda atascada. Préstale atención porque te ahorrará horas.

Hermes Agent, dentro de un mismo contenedor, puede ofrecer dos servicios diferentes:

1. El Gateway — escucha en el puerto 8642. Es el cerebro del agente: gestiona las plataformas de chat (Telegram, Discord…) y expone una API compatible con OpenAI. Es lo que se arranca con el comando gateway run.
2. El Dashboard web — escucha en el puerto 9119. Es el panel visual desde el navegador para configurar modelos, claves de API, habilidades, tareas programadas y ver logs. No se activa por defecto.

El error más habitual es desplegar Hermes, ver que el bot de Telegram funciona y luego intentar abrir la web… y no aparece nada. ¿Por qué? Porque solo se arrancó el Gateway. El dashboard hay que activarlo expresamente con una variable de entorno (HERMES_DASHBOARD=1).

Hay un segundo detalle importante de seguridad: el dashboard de Hermes no tiene sistema de login propio. La documentación oficial lo dice claramente, y de hecho en las versiones recientes Hermes incorpora una guardia OAuth que se niega activamente a bindear el dashboard a una interfaz pública (0.0.0.0) salvo que (a) tengas un proveedor OAuth configurado o (b) le indiques explícitamente que confías en la capa de seguridad que pongas tú delante. Esto es serio: el dashboard puede leer y escribir tus claves de API y abrir una terminal en el navegador. Exponerlo en internet sin protección sería un agujero de seguridad enorme.

Por eso esta guía hace dos cosas: activa el dashboard y le pone una pantalla de login delante con Cloudflare Access. Que no se te olvide la segunda parte.

Paso 2: Crea el recurso en Coolify

1. Entra en tu panel de Coolify.
2. Elige el Proyecto y el Entorno donde quieras alojar Hermes (por ejemplo production).
3. Pulsa + New → Docker Compose Empty (recurso de Docker Compose en blanco).
4. Selecciona el servidor donde se desplegará (normalmente localhost).

Coolify te abrirá un editor de Docker Compose vacío. En el siguiente paso lo rellenamos.

Paso 3: El archivo Docker Compose de Hermes

Copia y pega el siguiente archivo en el editor de Coolify (botón Edit Compose File). Está listo para funcionar:

services:
  hermes-agent:
    # IMPORTANTE: sustituye :latest por la versión exacta que quieras
    # usar (ver sección "Mantenimiento y actualizaciones" más abajo).
    image: 'nousresearch/hermes-agent:latest'
    container_name: hermes-agent
    restart: unless-stopped
    command: 'gateway run'
    environment:
      - TZ=Europe/Madrid
      - HERMES_DASHBOARD=1
      - HERMES_DASHBOARD_INSECURE=1
      - SERVICE_FQDN_HERMES_9119
    volumes:
      - 'hermes-data:/opt/data'
    expose:
      - '9119'
    healthcheck:
      test:
        - CMD-SHELL
        - "ps aux | grep '[g]ateway run' || exit 1"
      interval: 30s
      timeout: 10s
      retries: 3
      start_period: 60s
    deploy:
      resources:
        limits:
          memory: 4G
          cpus: '2.0'
volumes:
  hermes-data:

Vamos a entender qué hace cada parte, porque entenderlo es lo que te permitirá adaptarlo a tu caso:

• image y command: descarga la imagen oficial de Hermes y arranca el gateway. Hasta aquí, lo estándar.
• HERMES_DASHBOARD=1: esta es la primera línea mágica. Activa el dashboard web en el puerto 9119 dentro del mismo contenedor. Sin ella, no hay panel web.
• HERMES_DASHBOARD_INSECURE=1: la segunda línea mágica, y la que más confusión genera. Las versiones recientes de Hermes traen una guardia OAuth que se niega a bindear el dashboard a 0.0.0.0 si no encuentra un proveedor de autenticación registrado, por la razón obvia de que sería un panel admin abierto a internet. Esta variable le dice a Hermes que confíe en que hay otra capa de auth delante (en nuestro caso, Cloudflare Access). Sin ella, verás en los logs el mensaje «Refusing to bind dashboard to 0.0.0.0» y el panel quedará inaccesible.
• SERVICE_FQDN_HERMES_9119: es una «variable mágica» de Coolify. Le indica al proxy interno de Coolify (Traefik) que debe enrutar el tráfico de un dominio hacia el puerto 9119. El identificador (HERMES) es un nombre libre; lo importante es que no lleve guiones bajos, porque entonces Coolify no interpreta bien el número de puerto.
• volumes: hermes-data:/opt/data: aquí se guarda todo el estado de Hermes (memoria, sesiones, configuración, claves). Gracias a este volumen, puedes actualizar o reiniciar el contenedor sin perder nada.
• expose: 9119: publica el puerto 9119 solo en la red interna de Docker. Traefik puede alcanzarlo, pero no queda abierto en tu servidor. Fíjate en que no usamos ports: — eso dejaría el puerto accesible sin proxy ni autenticación, justo lo que queremos evitar.
• healthcheck: comprueba cada 30 segundos que el proceso del gateway sigue vivo. Coolify mostrará el estado «healthy» cuando todo esté correcto.
• deploy.resources.limits: pone un techo de RAM y CPU. Ajústalo a las capacidades de tu servidor.

Cambia esto: la variable TZ=Europe/Madrid define la zona horaria. Pon la tuya (por ejemplo America/Bogota, America/Mexico_City, etc.) para que las tareas programadas se ejecuten a la hora correcta.

Guarda el archivo. Coolify lo validará y detectará automáticamente la variable SERVICE_FQDN_HERMES_9119.

Paso 4: Configura las claves de API

Hermes necesita una clave de API de algún proveedor de IA para funcionar. Tienes dos formas de configurarla, y aquí va el consejo práctico:

Opción A (recomendada): configurarlo después desde el dashboard

La forma más cómoda y a prueba de errores es no poner las claves en el Compose, sino desplegar primero, abrir el dashboard, y configurar todo desde su interfaz visual (modelos, claves, plataformas de chat). Así no dependes de recordar el nombre exacto de cada variable de entorno. Lo veremos en el Paso 8.

Opción B: variables de entorno en Coolify

Si prefieres dejarlo todo definido desde el inicio, en Coolify ve a la pestaña Environment Variables del recurso y añade las que necesites. Por ejemplo, para usar la API de un proveedor LLM y conectar Telegram añadirías las claves correspondientes (consulta la documentación oficial de Hermes para los nombres exactos de cada variable, ya que dependen del proveedor que uses).

Importante: marca las variables que contengan claves o tokens como sensibles (sensitive) en Coolify. Así se almacenan cifradas y no se muestran en texto plano.

Para esta guía seguiremos con la Opción A, que es la más sencilla para alguien que empieza.

Paso 5: Despliega y verifica que funciona

1. Pulsa el botón Deploy en Coolify.
2. Espera a que la imagen se descargue y el contenedor arranque. La primera vez puede tardar un par de minutos.
3. Cuando termine, deberías ver el servicio en estado Running (healthy).

Para confirmar que el dashboard está realmente activo, abre la pestaña Terminal del recurso en Coolify y ejecuta:

curl -s http://localhost:9119 -o /dev/null -w "%{http_code}\n"

Si responde 200 (o un 302/307 de redirección a login interno, también vale), el dashboard está vivo y escuchando. Si responde 000 o no responde, revisa la sección de solución de problemas: lo más probable es que estés viendo el error de la guardia OAuth.

También puedes revisar los logs desde la pestaña Logs de Coolify. La salida del dashboard aparece con el prefijo [dashboard], lo que te permite distinguirla fácilmente de la del gateway.

Paso 6: Expón el dashboard con tu dominio personalizado

Ahora vamos a hacer que el dashboard sea accesible desde una URL como https://jarvis.tudominio.com. El proceso tiene dos partes: Coolify y Cloudflare.

6.1 — Asigna el dominio en Coolify

1. En la configuración del recurso de Hermes, busca el servicio hermes-agent. Como añadimos la variable SERVICE_FQDN_HERMES_9119, Coolify mostrará un campo Domains.
2. Escribe ahí tu dominio: https://jarvis.tudominio.com
3. Pulsa Save y vuelve a desplegar (Redeploy).

Con esto, el proxy interno de Coolify ya sabe que cualquier petición que llegue para jarvis.tudominio.com debe entregarse al dashboard de Hermes en el puerto 9119.

6.2 — Crea el hostname público en Cloudflare Tunnel

Cloudflare Tunnel es lo que conecta el mundo exterior con tu servidor sin abrir puertos. Si ya tienes Coolify expuesto por un tunnel (porque ya publicas otras apps con subdominios), este paso es muy rápido:

1. Entra en el panel de Cloudflare Zero Trust → Networks → Tunnels.
2. Selecciona el tunnel que ya usas para Coolify y pulsa Configure.
3. Ve a la pestaña Public Hostnames y pulsa Add a public hostname.
4. Rellena: Subdomain = jarvis; Domain = tudominio.com; Service Type = HTTPS; URL = localhost:443 (el proxy de Coolify).
5. Despliega Additional application settings → TLS y activa No TLS Verify. Esto es necesario porque el proxy de Coolify usa un certificado interno que no coincide con localhost.
6. Guarda.

Atajo: si en tu tunnel tienes configurado un hostname comodín (*.tudominio.com) apuntando al proxy de Coolify, no necesitas hacer nada en Cloudflare: el subdominio jarvis funcionará automáticamente en cuanto lo definas en Coolify.

Cloudflare crea el registro DNS por ti. En uno o dos minutos, https://jarvis.tudominio.com empezará a responder.

Si abres esa URL ahora, verás el dashboard de Hermes. Pero ojo: todavía está abierto para cualquiera que conozca la dirección. Vamos a cerrarlo.

Paso 7: Protege el acceso con Cloudflare Access

Recuerda: el dashboard de Hermes no tiene login propio, y al pasarle HERMES_DASHBOARD_INSECURE=1 le hemos dicho explícitamente «yo me encargo de la autenticación». Aquí es donde toca cumplir esa promesa. Cloudflare Access añade una pantalla de inicio de sesión en el borde de Cloudflare, de modo que la petición ni siquiera llega a tu servidor si la persona no se ha autenticado. Es gratuito y muy seguro.

1. En Cloudflare Zero Trust, ve a Access → Applications → Add an application.
2. Elige el tipo Self-hosted.
3. En la configuración de la aplicación: Application name = Hermes Dashboard (o el nombre que quieras); Application domain = jarvis.tudominio.com.
4. En la sección de políticas, crea una política: Policy name = Solo yo; Action = Allow; Configure rules = regla de tipo Emails e incluye tu dirección de correo.
5. Elige el método de identidad: lo más sencillo es One-time PIN (Cloudflare te envía un código al email). También puedes usar Google, GitHub, etc.
6. Guarda la aplicación.

A partir de ahora, cuando alguien entre en https://jarvis.tudominio.com verá primero la pantalla de Cloudflare pidiendo el correo. Solo tras validar el código de un solo uso accederá al dashboard. Tu agente de IA queda protegido.

Buena práctica: la sesión de Cloudflare Access dura un tiempo configurable. Si compartes el ordenador, cierra sesión al terminar o reduce la duración de la sesión en la configuración de la aplicación.

Paso 8: Configura Hermes desde el dashboard

Ya tienes el panel accesible y protegido. Ahora toca la parte divertida: configurar el agente.

1. Entra en https://jarvis.tudominio.com y supera el login de Cloudflare.
2. En el dashboard de Hermes: ve a la sección de configuración del modelo y añade la clave de API de tu proveedor de IA (Anthropic, OpenAI, OpenRouter o Google); elige el modelo que quieres que use tu agente; si quieres hablar con él por Telegram, ve a la sección de plataformas de mensajería y pega el token de tu bot de @BotFather.
3. Guarda los cambios. El dashboard escribe directamente en el archivo de configuración del agente.
4. Reinicia el contenedor desde Coolify (botón Restart) para que el gateway recoja la nueva configuración.

¡Listo! Ya puedes gestionar habilidades, revisar sesiones, programar tareas y consultar logs desde una interfaz cómoda y segura.

Mantenimiento y actualizaciones (no te saltes esta sección)

Esta sección es nueva en esta versión de la guía y nace de una lección aprendida: Hermes es un proyecto vivo y sus nuevas versiones pueden introducir cambios que rompan tu instalación si actualizas a ciegas. Aquí te dejo el ritual seguro.

Pinea la versión de la imagen (no uses :latest en producción)

El compose de esta guía usa nousresearch/hermes-agent:latest para que el primer despliegue funcione sin más. Pero en producción es mucho más seguro fijar una versión concreta. Así controlas tú cuándo actualizas, no Docker.

Para conocer la versión que estás usando ahora mismo, en la Terminal del servicio en Coolify:

/opt/hermes/.venv/bin/hermes --version

Cambia la línea image: del compose para usar ese tag explícito, por ejemplo:

image: 'nousresearch/hermes-agent:1.4.2'

Ritual de actualización segura

Cuando quieras actualizar a una versión nueva, sigue este orden:

1. Lee el changelog de la nueva versión en el repositorio oficial de Hermes. Si hay un apartado «breaking changes», léelo dos veces.
2. Anota la versión anterior para poder volver atrás rápidamente si algo se tuerce.
3. Cambia el tag de la imagen en el compose y pulsa Redeploy.
4. Verifica los permisos del volumen (ver más abajo).
5. Comprueba los logs en busca de cualquier «Refusing to bind» o errores de permisos.
6. Prueba el dashboard en el navegador.
7. Si algo falla, vuelve al tag anterior (paso 2) y desbloquea con calma.

Verificación de permisos del volumen tras una actualización

Tras una actualización (sobre todo si también actualizas Coolify a la vez), revisa que los ficheros del volumen siguen perteneciendo al usuario interno hermes. Es un problema sutil pero muy común que deja el dashboard en bucle de crashes:

stat -c '%U:%G (%u:%g) %a' /opt/data /opt/data/auth.json

Lo correcto es ver algo como hermes:hermes (10000:10000) en ambos. Si alguno sale root:root, ejecuta:

chown -R hermes:hermes /opt/data

Y reinicia el contenedor desde Coolify. Más detalles de este caso en la siguiente sección.

Solución de problemas comunes

Logs llenos de «Refusing to bind dashboard to 0.0.0.0»

Mensaje completo: «Refusing to bind dashboard to 0.0.0.0 — the OAuth auth gate engages on non-loopback binds, but no auth providers are registered».

Es la guardia OAuth nueva de Hermes. Solución: añade la variable HERMES_DASHBOARD_INSECURE=1 al bloque environment del compose y vuelve a desplegar. Recuerda que esta variable solo es segura porque tú estás poniendo Cloudflare Access delante; no la uses sin una capa de autenticación previa.

Tras actualizar, el dashboard entra en bucle de crashes

Síntomas: en los logs se ven mensajes repetidos del tipo «auth: failed to parse /opt/data/auth.json ([Errno 13] Permission denied)», y curl http://localhost:9119 devuelve HTTP 000.

Esto pasa cuando, tras un update, algún fichero dentro de /opt/data queda propiedad de root mientras el proceso de Hermes corre como el usuario hermes. Solución, desde la terminal del servicio:

chown -R hermes:hermes /opt/data
rm -f /opt/data/auth.json.corrupt

Y luego, desde Coolify, pulsa Restart en el servicio. En 30 segundos el dashboard debería volver a la vida.

Error 502 Bad Gateway al abrir el dominio

Cloudflare llega al proxy de Coolify, pero el proxy no encuentra el dashboard en el puerto 9119. Causas habituales, en orden de probabilidad:

• El dashboard está en bucle de crashes (revisa los dos casos anteriores).
• El despliegue aún no ha terminado o el contenedor no está «healthy». Espera y revisa el estado.
• El dashboard se está enlazando a 127.0.0.1 en lugar de a 0.0.0.0 dentro del contenedor. Revisa los logs filtrando por [dashboard] para confirmar en qué interfaz quedó escuchando.

Error 404 Not Found

El tráfico llega pero ningún servicio responde para ese dominio. Verifica que:

• El dominio en el campo Domains de Coolify coincide exactamente con el del hostname de Cloudflare.
• Has hecho Redeploy después de cambiar el dominio.

El dashboard no carga, pero el bot de Telegram sí funciona

Te ha faltado la variable HERMES_DASHBOARD=1, o el contenedor no se ha redesplegado tras añadirla. El gateway y el dashboard son procesos distintos: que uno funcione no implica que el otro esté activo.

La página pide login pero nunca entra / bucle de Cloudflare Access

Revisa que el correo de tu política de Access es el mismo con el que intentas iniciar sesión, y que la aplicación de Access apunta al dominio correcto sin barra final.

El contenedor reinicia continuamente

Suele ser falta de recursos. Sube los límites de memory en el bloque deploy o usa un servidor con más RAM, sobre todo si activas funciones de automatización de navegador.

Preguntas frecuentes

¿Qué es exactamente Hermes IA?

Es un agente de IA autónomo desarrollado por Nous Research. Su rasgo distintivo es que aprende con el uso: genera y mejora sus propias habilidades y construye un modelo de tus preferencias a lo largo del tiempo, en lugar de ser un simple chatbot sin memoria.

¿Es seguro exponer el dashboard de Hermes en internet?

Solo si lo proteges. El dashboard no incluye autenticación propia y puede acceder a tus claves de API y a una terminal. Por eso las versiones recientes de Hermes traen una guardia OAuth que se niega a exponerlo sin autenticación. En esta guía esa autenticación la pone Cloudflare Access, que es gratuito y muy robusto.

¿Para qué sirve la variable HERMES_DASHBOARD_INSECURE?

Le indica a Hermes que confíe en una capa de autenticación externa (en tu caso, Cloudflare Access) y omita su guardia OAuth interna, que de lo contrario impediría exponer el dashboard a una interfaz pública. No la uses si no tienes una capa de autenticación delante: equivaldría a dejar tu panel admin abierto a internet.

¿Puedo instalar Hermes IA sin Coolify?

Sí. Hermes se puede ejecutar con Docker directamente o incluso instalarse de forma nativa. Coolify simplemente te da una interfaz gráfica cómoda para gestionar el contenedor, los volúmenes, las variables y el proxy sin tocar la terminal.

¿Cuánta RAM necesita Hermes IA?

Para un uso básico, 2 GB suelen ser suficientes. Si vas a usar funciones de automatización de navegador (que arrancan un Chromium), conviene disponer de 4 GB o más.

¿Cuál es la diferencia entre el puerto 8642 y el 9119?

El 8642 es el gateway: la API compatible con OpenAI y el endpoint de salud. El 9119 es el dashboard web de gestión. Para esta guía nos interesa exponer el 9119; el 8642 puede quedarse en la red interna.

¿Necesito pagar por usar Hermes?

El agente en sí lo ejecutas en tu propio servidor. Lo que sí tiene coste es el proveedor de IA que conectes (Anthropic, OpenAI, etc.), ya que pagas por los tokens que consume el modelo. Existen opciones más económicas según el modelo que elijas.

¿Puedo usar Hermes sin un dominio propio?

Sí. Para acceso personal puntual puedes usar un túnel SSH hacia el puerto 9119 sin exponer nada públicamente. Pero si quieres acceso cómodo desde el navegador, en cualquier momento y dispositivo, lo ideal es el dominio personalizado con login que explica esta guía.

¿Por qué usar Cloudflare Tunnel en lugar de abrir puertos?

Cloudflare Tunnel crea una conexión saliente desde tu servidor hacia Cloudflare, así que no necesitas abrir ningún puerto ni exponer la IP de tu servidor. Es más seguro y, además, te beneficias de la red y la protección de Cloudflare.

Conclusión

Lo que parecía un proceso enrevesado se reduce, en realidad, a entender una idea sencilla: Hermes tiene un gateway y un dashboard, hay que activar el dashboard, hay que decirle que confías en la autenticación externa, y hay que ponerle esa autenticación delante. Una vez interiorizas eso, el resto es Coolify enrutando un puerto y Cloudflare poniendo el dominio y el login.

Recapitulando, ahora tienes:

• ✅ Hermes IA corriendo de forma permanente en Coolify, con la versión pineada para que no te sorprenda un update.
• ✅ El dashboard activado en el puerto 9119 y con la guardia OAuth gestionada correctamente.
• ✅ Acceso desde tu dominio personalizado con HTTPS.
• ✅ Una pantalla de login que impide accesos no autorizados.
• ✅ Cero puertos abiertos en tu servidor.
• ✅ Un ritual de actualización que evita sorpresas en el futuro.

A partir de aquí, tu agente está listo para crecer contigo. Tómate un rato para explorar el dashboard, conectar tu plataforma de chat favorita y empezar a darle tareas. Y si esta guía te ha ahorrado las horas de búsqueda que a muchos nos costó, compártela: seguro que hay más gente igual de perdida que tú estabas hace un rato.

¿Te ha funcionado? ¿Te has quedado atascado en algún paso? Déjalo en los comentarios y lo revisamos.