N22/dokumenter/TODO.md

# TODO - Pending Tasks

## Home Assistant - Åbne opgaver

### HA-fejl der skal fikses
- [x] **Mealie shopping merge timeout** — udgået, merge med Google Keep droppes. Shopping-liste køres direkte i Mealie hver onsdag morgen.
- [x] **aiohttp 400 Bad Request fra ekstern IP** — Løst: Nginx Proxy Manager sat op som HTTPS reverse proxy (`anneclaus.duckdns.org`). Let's Encrypt cert udstedt, Force HTTPS aktiveret. Port 8123 lukket på routeren. HA tilgås nu udelukkende via HTTPS på port 443.
- [x] **switch.home_charging mangler** — Bilen oplades fint (16. maj 2026). Ikke et reelt problem.
- [x] **climate.badevarelse** — Danfoss Ally TRV monteret og online (7. maj 2026).
- [x] **Husqvarna Automower BLE — genopsæt parring** — Kørte fint. Problemet var at telefon-app'en kørte i baggrunden og holdt BLE-forbindelsen, selvom klipperen var slettet fra appen.
- [x] **Google AI MAX_TOKENS i AI-indkørsel automation** — Ingen fejl observeret i loggen. Fjernet fra aktiv liste.

### HA - Kendte ikke-fejl (ingen handling nødvendig)
- `husqvarna_automower_ble` BLE fejl — normalt når plæneklipperen klipper (men se auth fail-fejl ovenfor)
- `light.spejl1/spejl2` mangler — strøm slukket på kontakt, OK


## Sikring af port forwards via NPM + subdomæner
**Baggrund:** Diverse tjenester er direkte eksponeret via port-forwards på routeren uden kryptering. Disse bør flyttes bag NPM med HTTPS og subdomæner under `anneclaus.dk`.

**Tjenester fra routeren (per 17. maj 2026):**
| Tjeneste | WAN-port | Intern port | Forslag til subdomain |
|---|---|---|---|
| Mealie | 9925 | 9925 | `mealie.anneclaus.dk` |
| Plex | 32400 | 32400 | `plex.anneclaus.dk` (Plex har egen HTTPS — lavere prioritet) |
| Synology DSM | 5000/5001 | 5000/5001 | `nas.anneclaus.dk` |
| Unifi | 8443 | 8443 | (Unifi har egen HTTPS — lavere prioritet) |
| FTP | 21 | 21 | FTP er usikkert — overvej om den skal lukkes |
| MQTT | 1883 | 1883 | MQTT i klartekst — høj risiko |
| SSH | 2222 | 2222 | SSH er krypteret, men tiltrækker brute-force |

**For hver tjeneste der flyttes:**
1. Tilføj CNAME-record hos One.com: `<subdomain>` → `anneclaus.duckdns.org`
2. Opret proxy host i NPM med SSL-cert og Force HTTPS
3. Luk den direkte port-forward på routeren

- [ ] **MQTT port 1883** — høj prioritet: MQTT kører i klartekst. Enten luk porten helt (bruges kun internt?) eller aktiver TLS i Mosquitto
- [ ] **FTP port 21** — luk den (FTP sender kodeord i klartekst — brug SFTP over SSH i stedet)
- [ ] **Mealie** — flyt til `mealie.anneclaus.dk` via NPM, luk port 9925 på routeren
- [ ] **Synology DSM** — flyt til `nas.anneclaus.dk` via NPM, luk port 5000/5001 på routeren
- [ ] **SSH port 2222** — overvej at begrænse til nøgle-login og deaktivere password-login
- [ ] **Plex** — lavere prioritet, Plex har allerede kryptering internt
- [ ] **Unifi** — lavere prioritet, Unifi har allerede HTTPS

---

## Gitea External HTTPS Access
**Status:** Partial - content accessible but SSL certificate warning

### Task 1: SSL Certificate Binding
- [ ] Access Synology DSM Control Panel
- [ ] Navigate to Security → Certificate
- [ ] Bind the SSL certificate to `gitea.anneclaus.synology.me` in the reverse proxy configuration
- [ ] If certificate missing: Obtain new Let's Encrypt certificate for the hostname
- [ ] Test: Verify no SSL warning when accessing https://gitea.anneclaus.synology.me/

### Task 2: Update Gitea Configuration for External URL
- [ ] Edit `.env.infrastructure` file
- [ ] Update the following variables:
  ```
  GITEA_DOMAIN=gitea.anneclaus.synology.me
  GITEA_ROOT_URL=https://gitea.anneclaus.synology.me/
  GITEA_SSH_DOMAIN=gitea.anneclaus.synology.me
  ```
- [ ] Restart Gitea container:
  ```bash
  docker compose --env-file .env.infrastructure -f docker-compose.infrastructure.yml up -d gitea
  ```
- [ ] Test: Verify Git clone links show external URL

### Notes
- DNS routing and reverse proxy already working (content is accessible)
- Only certificate binding and Gitea configuration update remaining
- These changes will enable full external functionality for Git operations