Nilson schrieb:Warum sollte es auch ins WAN gehen? Der Router erkennt, dass die Datei ins eigene Netzt soll und routet die entsprechend.
Ich finde die Idee über einen lokal DNS ganz gut. Du holst dir ein Wildcard Certificate und ein lokaler DNS gibt dir dann die passende lokale IP.
Browser ist zufrieden, weil du hast ja ein gültiges Zertifikat von einer offiziellen Stelle mit *.domain.tld und dein lokaler DNS gibt dir dann für sub1.domain.tld die 10.10.10.1 und für sub2.domain.tld die 10.10.10.2 etc.
Oder hab ich jetzt ein Denkfehler?
@Raijin was sagst du dazu, du kennst dich doch mit solchen Fragen aus?
Nein, du hast keinen Denkfehler.
bei mir habe ich es mit mehreren virtuellen Maschinen gelöst, eine Diskstation oder Raspberry sollten es aber auch tun.
auf einer VM läuft ein DNS (Pi-Hole), der einige Geräte direkt auflöst (nas.domain.tld -> 10.0.0.2, v3.domain.tld -> 10.0.0.3, ...) und der den wildcard Eintrag an den NginX-Server weiterleitet (.domain.tld -> 10.0.0.99)
Der NginX-Server wiederum löst Dienste auf, die auf unterschiedlichen Servern laufen (dienst1.domain.tld -> https://dienst1.domain.tld -> 10.0.0.2:5001, dienst2.domain.tld -> https://dienst2.domain.tld -> 10.0.0.5:8083, ...). Auf dem NginX-Server ist auch gleichzeitig der Certbot Dienst, der das Wildcard-LE-Zertifikat anfragt und bekommt. Das wird ja auch "nur" für den reverse Proxy (NginX) für HTTPS benötigt.
die Namensauflösung der Geräte/Server, die der DNS Server macht, kennt ja keine Ports und kein SSL.
der Router gibt allen Geräten den internen DNS per DHCP als DNS mit.
Die Ports 80 und 443 müssen nur zum Zeitpunkt der Zertifikatserneuerung (aller 90Tage) auf den Server mit Certbot verweisen. Der rest verbleibt lokal.