Der Webproxy soll (wie der webcontainer auch magrathea) die http(s) Resourcen im Space gebündelt verwalten Verbindung weiterleiten.

Der große Vorteil, wenn das gebündelt passiert ist, dass wir TLS-Zertifikate von letsencrypt nutzen können und für die HTTP-01 nur einen Server konfigurieren und absichern müssen.

• openhab (home.nobreakspace.org)
• ledwand (ledwand.nobreakspace.org)

Also Proxy wird Caddy benutzt.

Als Cgallenge wird von Letsencrypt von extern eine Anfrage an /.well-known/acme-challenge/<TOKEN> gemacht. D.h. wir verbieten jede Anfrage, die nicht von 172.23.208.0/23 oder 2a01:170:1112::/48 kommt AUßER die url ist /.well-known/acme-challenge/<TOKEN>:

(acl) {
        @extern {
                not remote_ip 172.23.208.0/23 2a01:170:1112::/48
                not path /.well-known/acme-challenge/*
        }

        respond @extern "Not allowed" 403
}