securetransport

.gitignore

@@ -0,0 +1 @@
+config/ipv64.env

config/dynamic.yml

@@ -5,7 +5,7 @@
 #  Beispiel für externe Dienste
 http:
   serversTransports:
-    mytransport:
+    mysecuretransport:
       insecureSkipVerify: true
   routers:
 #    utk: # Tausche den Namen gegen etwas sprechendes aus
@@ -22,23 +22,94 @@ http:
     bitwarden: # Tausche den Namen gegen etwas sprechendes aus
       entryPoints:
         - websecure
-      rule: "Host(`bw.czechman.dynvpn.de`)"
+      rule: "Host(`bw.czechman.ipv64.de`)"
       service: "bitwarden" # Den Namen am besten ähnlich zu dem oben setzen
       tls:
-        certresolver: "myresolver"
+        certresolver: "ipv64resolver"
-#      middlewares: 
+      middlewares: 
-#        - "secHeaders"
+        - "secHeaders"
-#        - "autodetect"
+        - "autodetect"
     thunderbird: # Tausche den Namen gegen etwas sprechendes aus
       entryPoints:
-        - web
+        - websecure
-      rule: "Host(`tb.czechman.dynvpn.de`)"
+      rule: "Host(`tb.czechman.ipv64.de`)"
       service: "thunderbird" # Den Namen am besten ähnlich zu dem oben setzen
       tls:
-        certresolver: "myresolver"
+        certresolver: "ipv64resolver"
-#      middlewares: 
+      middlewares: 
-#        - "secHeaders"
+        - "secHeaders"
-#        - "autodetect"
+        - "autodetect"
+    pihole: # Tausche den Namen gegen etwas sprechendes aus
+      entryPoints:
+        - websecure
+      rule: "Host(`pihole.czechman.ipv64.de`) && ClientIP(`192.168.1.0/24`)"
+      service: "pihole" # Den Namen am besten ähnlich zu dem oben setzen
+      tls:
+        certresolver: "ipv64resolver"
+      middlewares: 
+        - "secHeaders"
+        - "autodetect"
+    shaarli: # Tausche den Namen gegen etwas sprechendes aus
+      entryPoints:
+        - websecure
+      rule: "Host(`bm.czechman.ipv64.de`)"
+      service: "shaarli" # Den Namen am besten ähnlich zu dem oben setzen
+      tls:
+        certresolver: "ipv64resolver"
+      middlewares: 
+        - "secHeaders"
+        - "autodetect"
+        - "basic-auth"
+    kjgjelly: # Tausche den Namen gegen etwas sprechendes aus
+      entryPoints:
+        - websecure
+      rule: "Host(`theater.ipv64.de`)"
+      service: "kjgjelly" # Den Namen am besten ähnlich zu dem oben setzen
+      tls:
+        certresolver: "ipv64resolver"
+      middlewares: 
+        - "secHeaders"
+        - "autodetect"
+    kcjelly: # Tausche den Namen gegen etwas sprechendes aus
+      entryPoints:
+        - websecure
+      rule: "Host(`kinderchor.nas64.de`)"
+      service: "kjgjelly" # Den Namen am besten ähnlich zu dem oben setzen
+      tls:
+        certresolver: "ipv64resolver"
+      middlewares: 
+        - "secHeaders"
+        - "autodetect"
+    kjgwizarr: # Tausche den Namen gegen etwas sprechendes aus
+      entryPoints:
+        - websecure
+      rule: "Host(`neu.theater.ipv64.de`)"
+      service: "kjgwizarr" # Den Namen am besten ähnlich zu dem oben setzen
+      tls:
+        certresolver: "ipv64resolver"
+      middlewares: 
+        - "secHeaders"
+        - "autodetect"
+    kcwizarr: # Tausche den Namen gegen etwas sprechendes aus
+      entryPoints:
+        - websecure
+      rule: "Host(`neu.kinderchor.nas64.de`)"
+      service: "kjgwizarr" # Den Namen am besten ähnlich zu dem oben setzen
+      tls:
+        certresolver: "ipv64resolver"
+      middlewares: 
+        - "secHeaders"
+        - "autodetect"
+    # vysion: # Tausche den Namen gegen etwas sprechendes aus
+    #   entryPoints:
+    #     - websecure
+    #   rule: "Host(`vysion.czechman.ipv64.de`)"
+    #   service: "vysion" # Den Namen am besten ähnlich zu dem oben setzen
+    #   tls:
+    #     certresolver: "ipv64resolver"
+    #   middlewares: 
+    #     - "secHeaders"
+    #     - "autodetect"
 #    nextcloud: # Tausche den Namen gegen etwas sprechendes aus
 #      entryPoints:
 #        - websecure
@@ -48,13 +119,16 @@ http:
 #        certresolver: "myresolver"
 #      middlewares: 
 #        - "nc-secHeaders"
-#    gitea: # Tausche den Namen gegen etwas sprechendes aus
+    gitea: # Tausche den Namen gegen etwas sprechendes aus
-#      entryPoints:
+      entryPoints:
-#        - websecure
+        - websecure
-#      rule: "Host(`gitea.czechman.ipv64.de`)"
+      rule: "Host(`gitea.czechman.ipv64.de`)"
-#      service: "gitea" # Den Namen am besten ähnlich zu dem oben setzen
+      service: "gitea" # Den Namen am besten ähnlich zu dem oben setzen
-#      tls:
+      tls:
-#        certresolver: "myresolver"
+        certresolver: "ipv64resolver"
+      middlewares: 
+        - "secHeaders"
+        - "autodetect"
 
   services:
 #    utk: # Ich verwende hier den gleiche Namen wie bei routers
@@ -72,16 +146,46 @@ http:
         servers:
           - url: "https://192.168.1.250:887" # Auf die richtige URL anpassen.
 #          - port: "887"
+        serversTransport: mysecuretransport
+    pihole: # Ich verwende hier den gleiche Namen wie bei routers
+      loadBalancer:
+        servers:
+          - url: "http://192.168.1.254:88" # Auf die richtige URL anpassen.
+#          - port: "883"
+    shaarli: # Ich verwende hier den gleiche Namen wie bei routers
+      loadBalancer:
+        servers:
+          - url: "http://192.168.1.250:7777" # Auf die richtige URL anpassen.
+#          - port: "883"
+    kjgjelly: # Ich verwende hier den gleiche Namen wie bei routers
+      loadBalancer:
+        servers:
+          - url: "http://192.168.1.251:30013" # Auf die richtige URL anpassen.
+#          - port: "887"
+        serversTransport: mysecuretransport
+    kjgwizarr: # Ich verwende hier den gleiche Namen wie bei routers
+      loadBalancer:
+        servers:
+          - url: "http://192.168.1.250:5690" # Auf die richtige URL anpassen.
+#          - port: "887"
+        serversTransport: mysecuretransport
 #    nextcloud: # Ich verwende hier den gleiche Namen wie bei routers
 #      loadBalancer:
 #        servers:
 #          - url: "http://192.168.2.79" # Auf die richtige URL anpassen.
 #          - port: "84"
-#    gitea: # Ich verwende hier den gleiche Namen wie bei routers
+    gitea: # Ich verwende hier den gleiche Namen wie bei routers
-#      loadBalancer:
+      loadBalancer:
-#        servers:
+        servers:
-#          - url: "http://192.168.2.79" # Auf die richtige URL anpassen.
+          - url: "http://192.168.1.250:3001" # Auf die richtige URL anpassen.
+        serversTransport: mysecuretransport
 #          - port: "3001"
+    vysion: # Ich verwende hier den gleiche Namen wie bei routers
+      loadBalancer:
+        servers:
+          - url: "http://192.168.1.31:8006" # Auf die richtige URL anpassen.
+        serversTransport: mysecuretransport
+#          - port: "883"
 
 
 #  Beispiel für externe Dienste

config/traefik.yml

@@ -272,3 +272,117 @@ certificatesResolvers:
         # Default: false
         #
         # disablePropagationCheck: true
+
+  ipv64resolver:
+    # Enable ACME (Let's Encrypt): automatic SSL.
+    acme:
+
+      # Email address used for registration.
+      #
+      # Required
+      #
+      email: "ddns@mcseeno.de"
+
+      # File or key used for certificates storage.
+      #
+      # Required
+      #
+      storage: "/ACME/acme2.json"
+
+      # CA server to use.
+      # Uncomment the line to use Let's Encrypt's staging server,
+      # leave commented to go to prod.
+      #
+      # Optional
+      # Default: "https://acme-v02.api.letsencrypt.org/directory"
+      #
+      #caServer: "https://acme-staging-v02.api.letsencrypt.org/directory"
+
+      # The certificates' duration in hours.
+      # It defaults to 2160 (90 days) to follow Let's Encrypt certificates' duration.
+      #
+      # Optional
+      # Default: 2160
+      #
+      # certificatesDuration: 2160
+
+      # Preferred chain to use.
+      #
+      # If the CA offers multiple certificate chains, prefer the chain with an issuer matching this Subject Common Name.
+      # If no match, the default offered chain will be used.
+      #
+      # Optional
+      # Default: ""
+      #
+      # preferredChain: 'ISRG Root X1'
+
+      # KeyType to use.
+      #
+      # Optional
+      # Default: "RSA4096"
+      #
+      # Available values : "EC256", "EC384", "RSA2048", "RSA4096", "RSA8192"
+      #
+      # keyType: RSA4096
+
+      # Use a TLS-ALPN-01 ACME challenge.
+      #
+      # Optional (but recommended)
+      #
+      #tlsChallenge:
+
+      # Use a HTTP-01 ACME challenge.
+      #
+      # Optional
+      #
+      #httpChallenge:
+
+        # EntryPoint to use for the HTTP-01 challenges.
+        #
+        # Required
+        #
+        #entryPoint: web
+
+      # Use a DNS-01 ACME challenge rather than HTTP-01 challenge.
+      # Note: mandatory for wildcard certificate generation.
+      #
+      # Optional
+      #
+      dnsChallenge:
+
+        # DNS provider used.
+        #
+        # Required
+        #
+        provider: ipv64
+
+        # By default, the provider will verify the TXT DNS challenge record before letting ACME verify.
+        # If delayBeforeCheck is greater than zero, this check is delayed for the configured duration in seconds.
+        # Useful if internal networks block external DNS queries.
+        #
+        # Optional
+        # Default: 0
+        #
+        # delayBeforeCheck: 0
+
+        # Use following DNS servers to resolve the FQDN authority.
+        #
+        # Optional
+        # Default: empty
+        #
+        # resolvers
+        # - "1.1.1.1:53"
+        # - "8.8.8.8:53"
+
+        # Disable the DNS propagation checks before notifying ACME that the DNS challenge is ready.
+        #
+        # NOT RECOMMENDED:
+        # Increase the risk of reaching Let's Encrypt's rate limits.
+        #
+        # Optional
+        # Default: false
+        #
+        # disablePropagationCheck: true
+
+
+

docker-compose.traefik3.yml

@@ -10,6 +10,8 @@ services:
     image: traefik:v3.1
     # Enables the web UI and tells Traefik to listen to docker
     command: --configFile=/config/traefik.yml
+    environment:
+      - IPV64_API_KEY_FILE=/config/ipv64.env
     ports:
       # The HTTP port
       - "80:80"
@@ -29,3 +31,4 @@ services:
       driver: "gelf"
       options:
         gelf-address: "udp://192.168.1.250:12201"
+    restart: always