From 30c3435ddf3db02decbfbbf871f009eee4ca742f Mon Sep 17 00:00:00 2001
From: Micha <michideheld@gmx.de>
Date: Sun, 21 Jun 2026 23:04:58 +0200
Subject: [PATCH] Bypass Authelia for Dawarich metrics

---
 apps/dawarich/README.md          | 2 +-
 apps/dawarich/docker-compose.yml | 9 +++++++++
 2 files changed, 10 insertions(+), 1 deletion(-)

diff --git a/apps/dawarich/README.md b/apps/dawarich/README.md
index ec573e3..2e7e846 100644
--- a/apps/dawarich/README.md
+++ b/apps/dawarich/README.md
@@ -67,7 +67,7 @@ install -d -m 750 \
 
 Die UI liegt auf `https://dawarich.kaleschke.info` und nutzt `authelia@file,secure-headers@file`.
 
-Die Tracking-API-Routen fuer OwnTracks, Overland und Traccar sind separat und priorisiert ohne Authelia geroutet, weil diese Clients per Dawarich-API-Key authentifizieren und keine Browser-ForwardAuth-Challenge verarbeiten koennen.
+Die Tracking-API-Routen fuer OwnTracks, Overland und Traccar sind separat und priorisiert ohne Authelia geroutet, weil diese Clients per Dawarich-API-Key authentifizieren und keine Browser-ForwardAuth-Challenge verarbeiten koennen. `/metrics` ist ebenfalls separat ohne Authelia geroutet; der Endpoint bleibt durch Dawarich HTTP Basic Auth geschuetzt.
 
 ## Prometheus
 
diff --git a/apps/dawarich/docker-compose.yml b/apps/dawarich/docker-compose.yml
index 9f83a8d..4cac592 100644
--- a/apps/dawarich/docker-compose.yml
+++ b/apps/dawarich/docker-compose.yml
@@ -140,6 +140,15 @@ services:
       - traefik.http.routers.dawarich-api.middlewares=secure-headers@file
       - traefik.http.routers.dawarich-api.service=dawarich
 
+      # Prometheus uses Dawarich's own HTTP Basic Auth on /metrics.
+      - traefik.http.routers.dawarich-metrics.rule=Host(`${DAWARICH_HOST}`) && Path(`/metrics`)
+      - traefik.http.routers.dawarich-metrics.entrypoints=websecure
+      - traefik.http.routers.dawarich-metrics.tls=true
+      - traefik.http.routers.dawarich-metrics.tls.certresolver=le
+      - traefik.http.routers.dawarich-metrics.priority=90
+      - traefik.http.routers.dawarich-metrics.middlewares=secure-headers@file
+      - traefik.http.routers.dawarich-metrics.service=dawarich
+
       # UI and all other routes require Authelia ForwardAuth.
       - traefik.http.routers.dawarich.rule=Host(`${DAWARICH_HOST}`)
       - traefik.http.routers.dawarich.entrypoints=websecure