apiVersion: traefik.io/v1alpha1
kind: Middleware
metadata:
  name: ipwhitelist-internal
  namespace: traefik-system
  labels:
    app.kubernetes.io/name: traefik
    app.kubernetes.io/component: middleware
spec:
  ipWhiteList:
    # VPN IP-Range: Anpassen je nach VPN-Konfiguration
    # Standard: 10.100.0.0/16 (komplettes internes Netzwerk)
    # Für spezifische VPN-Range: z.B. 10.100.200.0/24
    sourceRange:
      - "10.100.0.0/16"  # Internes Netzwerk (VLAN 30, 40, 90, etc.)
      - "10.200.0.0/24"  # VPN-Netzwerk
      - "10.100.30.12/32"  # Traefik Edge IP (wichtig: Bei TLS Passthrough sieht k3s nur die Edge IP als Client)
      # Hinweis: *.apps.internal.* wird nur über interne DNS aufgelöst, daher relativ sicher
      # Weitere VPN-Ranges hier hinzufügen:
      # - "10.100.200.0/24"  # Beispiel: Dediziertes VPN-Subnetz