From 4d07c78971e62261cd80366ccab39170bbe6ac09 Mon Sep 17 00:00:00 2001
From: CalvinSteenbergen <calvinsteenbergen@gmail.com>
Date: Fri, 28 Nov 2025 22:47:38 +0100
Subject: [PATCH] refactor traefik configuration: clean up comments and adjust
 header trust settings

---
 1. docker-stacks/traefik/data/traefik.yml | 65 +++++++++++++----------
 1 file changed, 36 insertions(+), 29 deletions(-)

diff --git a/1. docker-stacks/traefik/data/traefik.yml b/1. docker-stacks/traefik/data/traefik.yml
index e74206f..5252cdb 100644
--- a/1. docker-stacks/traefik/data/traefik.yml	
+++ b/1. docker-stacks/traefik/data/traefik.yml	
@@ -1,43 +1,50 @@
 api:
   dashboard: true
-  insecure: true # Zetten we UIT zodra je via https://traefik.stackbabber.nl kan
+  insecure: true # Blijft nog even aan voor testen
 
 entryPoints:
   web:
     address: ":80"
-    # Dwing iedereen automatisch naar HTTPS
-    http:
-      redirections:
-        entryPoint:
-          to: websecure
-          scheme: https
+    # BELANGRIJK: Omdat NPM de SSL doet, zetten we de automatische redirect hier UIT.
+    # Anders krijg je een "Too many redirects" loop.
+    # http:
+    #   redirections:
+    #     entryPoint:
+    #       to: websecure
+    #       scheme: https
+
+    # Hier vertellen we Traefik: "Vertrouw headers van de NAS"
+    forwardedHeaders:
+      trustedIPs:
+        - "127.0.0.1/32"    # Localhost
+        - "10.0.0.0/8"      # Intern netwerk (ruim)
+        - "192.168.0.0/16"  # Intern netwerk (ruim)
+        - "172.16.0.0/12"   # Docker intern
+        - "10.52.150.20/32" # <--- JOUW NAS IP (Cruciaal!)
 
   websecure:
     address: ":443"
-    # Gebruik standaard de Let's Encrypt resolver voor HTTPS
-    http:
-      tls:
-        certResolver: letsencrypt
-        domains:
-          - main: "stackbabber.nl"
-            sans:
-              - "*.stackbabber.nl"
-
-# Hier regelen we het certificaat
-certificatesResolvers:
-  letsencrypt:
-    acme:
-      email: csteenbergen@stackbabber.nl  # <--- PAS DIT AAN!
-      storage: acme.json
-      # We gebruiken DNS challenge (beste methode)
-      dnsChallenge:
-        provider: cloudflare
-        resolvers:
-          - "1.1.1.1:53"
-          - "8.8.8.8:53"
+    # Ook voor HTTPS poort (voor het geval NPM via 443 doorstuurt)
+    forwardedHeaders:
+      trustedIPs:
+        - "127.0.0.1/32"
+        - "10.52.150.20/32" # <--- JOUW NAS IP
 
 providers:
   docker:
     endpoint: "unix:///var/run/docker.sock"
     exposedByDefault: false
-    network: proxy
\ No newline at end of file
+    network: proxy
+
+# We laten de certificaat-resolvers wel in de config staan voor de toekomst,
+# maar Traefik gebruikt ze nu nog niet omdat NPM de certificaten regelt.
+certificatesResolvers:
+  letsencrypt:
+    acme:
+      email: csteenbergen@stackbabber.nl
+      storage: acme.json
+      dnsChallenge:
+        provider: cloudflare
+        resolvers:
+          - "1.1.1.1:53"
+          - "8.8.8.8:53"
\ No newline at end of file