====== nbsp-Webproxy (testbetrieb) ======

Der Webproxy soll (wie der webcontainer auch [[magrathea]]) die http(s) Resourcen im Space gebündelt verwalten Verbindung weiterleiten.

Der große Vorteil, wenn das gebündelt passiert ist, dass wir TLS-Zertifikate von letsencrypt nutzen können und für die [[https://letsencrypt.org/docs/challenge-types/|HTTP-01]] nur einen Server konfigurieren und absichern müssen.

===== Dienste =====

  * openhab ([[https://home.nobreakspace.org/|home.nobreakspace.org]])
  * ledwand ([[https://ledwand.nobreakspace.org/|ledwand.nobreakspace.org]])

==== Konfiguration ====

Also Proxy wird [[https://caddyserver.com|Caddy]] benutzt. 

Als Cgallenge wird von Letsencrypt von extern eine Anfrage an ''/.well-known/acme-challenge/<TOKEN>'' gemacht. D.h. wir verbieten jede Anfrage, die nicht von ''172.23.208.0/23'' oder ''2a01:170:1112::/48'' kommt AUßER die url ist ''/.well-known/acme-challenge/<TOKEN>'':



  (acl) {
          @extern {
                  not remote_ip 172.23.208.0/23 2a01:170:1112::/48
                  not path /.well-known/acme-challenge/*
          }
  
          respond @extern "Not allowed" 403
  }