Ich hatte befürchtet, dass es zu der Frage des Wozu kommen würde.
Folgendes Szenario:
Hier läuft Home Assistant, was für diverse Geräte Lovelace Dashboards zur Verfügung stellt. Innerhalb dieser Dashboards werden auch per IFRAME Diagramme aus einer per Home Assistand addon laufenden Grafana Installation.
Bisher ist HomeAssistant nur aus dem internen Netz bzw. per VPN erreichbar.
Um mit Google Assistant kommunizieren zu können, muss ich auf HomeAssistant SSL aktivieren und hier beginnt das Problem.
Portweiterleitung für HA klappt und ist über https://dyndns:PORT erreichbar.
Die IFRAMES zu Grafana müssen nun aber auch über HTTPS angesprochen werden, also Grafana auch für SSL konfiguriert. Funktioniert auch nach einer zweiten Portweiterleitung.
Die URL der IFrames musste ich ändern von http://IP:Port/.... nach https://dyndns:Port da das Zertifikat auf den DYNDNS Namen und natürlich nicht auf die IP ausgestellt ist.
Haken an der Sache: Um die Diagramme im HA Lovelace Dashboard sehen zu können, musste ich Grafana nur authentifikationslos konfigurieren.
Durch die Portweiterleitung kommt man von außen nun direkt auf das System. Möchte ich natürlich nicht.
Jetzt kommen wir zurück zum eigentlichen Thema. Ich dachte, über die begrenzte Portweiterleitung kann ich dafür sorgen, dass sie nur greift, wenn ich aus dem Netz oder per VPN zugreife und damit für alle anderen das nach außen offene Grafana schließe.
Tja, funktioniert soweit auch, nur eben für den Fall, dass ich von unterwegs per VPN mal einen Blick auf ein Dashboard werfen möchte nicht.
Ich hoffe die Erklärung war nicht zu verwirrend.
Gerne nehme ich auch Vorschläge das Problem anders zu lösen entgegen 
