Wie richte ich eine Weiterleitung subdomain ein

[DoubleD]

Hallo zusammen,

ich habe hier eine Raspi 4 mit 8gb am laufen.
Ort läuft verschiedene SmartHomeSoftware.
ioBroker
FHEM
Grafana
MQTT usw.
natürlich sind die einzelnen Dienste unter 192.168.1.200:xxxx zu erreichen.
Ich möchte mir aber nicht alle Ports merken.

Was (Welche Software/Dienst) müsste ich einrichten damit ich von Windows aus z.B. iobroker.raspberry.local und fhem.raspberry.local eingeben kann und dann direkt au den richtigen Port geleitet werde.
Es ginge auch raspberry.local/iobroker oder raspberry.local/fhem

Von Außen (Internet) soll das ganze nicht erreichbar sein.

Bin gespannt.

Vielen Dank schon mal Vorab

[DMW007]

Hi,

du brauchst erst mal einen DNS-Server, auf dem du Einträge (Records) vornehmen kannst. Gibt verschiedene Programme, die als DNS-Server fungieren. Der wohl bekannteste und schlankeste ist Dnsmasq. Den kannst du entweder alleinstehend installieren, oder falls du ohnehin einen netzwerkweiten Weberblocker möchtest, PiHole nutzen. Dnsmasq erlaubt es, eine gesamte Domain auf einen Host zu leiten. Zwar hast du in vielen DSL-Modems auch einen lokalen DNS-Server, der entsprechend zum Hostname einen DNS-Eintrag erstellt. Aber die unterstützen i.d.R. keine Subdomains oder mehrere Domains, das bringt also nichts.

Mit folgendem Eintrag wird beispielsweise *.hobel.internal (deine lokale Domain) auf 192.168.0.18 (wäre bei dir die IP vom Pi) geleitet:

Code:

server=/hobel.internal/192.168.0.18

Damit das netzwerkweit greift, musst du in der Weboberfläche des Modems/Routers noch den DNS-Server ändern, der per DHCP verteilt wird. Das ist i.d.R. ein eigener DNS vom Internetanbieter, bei schlechten ISPs auch Google oder ein anderer Drittanbieter-DNS. Bei der Fritz! Box beispielsweise ist das etwas versteckt unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4-Einstellungen (ganz unten):



192.168.0.19 ist bei mir der produktive DNS-Server, sprich da würdest du dann die IP von deinem Pi eintragen, auf dem Dnsmasq oder PiHole läuft. Deinem Post nach wäre das wohl 192.168.1.200. Bedenke, dass die statisch sein muss, falls sie das noch nicht ist. Sonst hast du kein DNS mehr, wenn der DHCP dem - aus welchem Gründe auch immer - mal eine andere IP vergeben sollte.

Damit der Dnsmasq nicht nur lokal auflösen kann sondern auch ins Internet, hinterlegst du da als Upstream DNS Server am besten dein Modem (192.168.0.1 wäre das hier beispielsweise) oder*einen öffentlichen DNS Server deiner Wahl. Zum Beispiel 46.182.19.48 von Digitalcourage, 5.1.66.255 Freifunk München etc. Die sind teils schneller und datenschutzfreundlicher als die der ISPs. Ich würde die IP des Modems hinterlegen und dort dann den DNS-Server der Wahl. Hat den Vorteil, dass du DNS-Namen anderer Netzwerkgeräte über dessen DHCL auflösen kannst.

DNS müsste nun funktionieren, sprich du kannst deine Domain im lokalen Netz auflösen. Wobei ich nicht .local nehmen würde, die ist für mDNS reserviert (RFC 6762). Lieber .internal für interne Sachen.

Damit HTTP/HTTPs ohne Port funktioniert, muss auf den Pi ein Reverse Proxy. Der läuft auf 80/443 und leitet den Datenverkehr an die Anwendungen dahinter wie z.B. Grafana weiter. Mit MQTT wird das nichts, das ist kein HTTP-Protokoll und kann daher auch nicht darüber getunnelt werden. Sollte aber auch kein Problem sein, da MQTT sowieso intern zur Kommunikation der Geräte untereinander genutzt wird und nicht um irgendwas per Web-Oberfläche bereitzustellen. Alle HTTP-Anwendungen kannst du per Reverse Proxy unter z.B. einer eigenen Subdomain erreichen. Wie Reverse Proxys funktionieren, habe ich letzte Woche in einem eigenen Beitrag erklärt: Was ist ein Reverse Proxy? Funktionsweise einfach erklärt für klassische Webanwendungen + Docker!.

[DoubleD]

Das ist mal eine ausführliche Antwort.
Vielen Dank!
Genau wegen des Videos bin ich erst drauf gekommen dass das super wäre.
Ich arbeite mich mal Schritt für Schritt durch. Wenn noch Fragen aufkommen, melde ich mich....

[Tuxpower]

Wenn du viele Dienste per HTTPs bereitstellen möchtest, wäre später auch über eine eigene Zertifizierungsstelle nachzudenken. Intern kannst du ja keine öffentlichen Zertifikate nutzen und hast daher selbst signierte. Die musst du auf jedem Gerät einzeln in den Truststore aufnehmen. Hast du nur eins (z.B. Wildcard) geht das noch. Spätestens wenn du mehrere hast ist eine eigene CA einfacher. Dann lässt du die Geräte dem Root Zertifikat deiner CA vertrauen und alle davon ausgestellten Zertifikate wird automatisch vertraut, ohne dass du jedes einzeln hinzufügen brauchst.