erster commit nach bestandsaufnahme

2026-05-26 15:24:55 +02:00 · 2026-05-26 15:24:55 +02:00 · c5fb4daf0f
commit c5fb4daf0f
10 changed files with 930 additions and 0 deletions
--- a/VPS/backup.md
+++ b/VPS/backup.md
@ -0,0 +1,101 @@
+# Backup Dokumentation
+
+## Backup Strategie
+
+Die VPS wird per restic auf eine Hetzner Storage Box gesichert.
+
+Transport:
+- SFTP
+
+Backup Tool:
+- restic
+
+—
+
+# Gesicherte Verzeichnisse
+
+```text
+/opt
+/etc/wireguard
+/etc/ssh
+/etc/letsencrypt
+```
+
+—
+
+# Backup Ziel
+
+## Hetzner Storage Box
+
+Repository Struktur:
+
+```text
+backups/vps
+```
+
+—
+
+# Retention Policy
+
+| Typ | Anzahl |
+|—|—|
+| Daily | 7 |
+| Weekly | 4 |
+| Monthly | 6 |
+
+Zusätzlich:
+- regelmäßiges prune
+
+—
+
+# Backup Zeitplan
+
+## systemd timer
+
+Nächster Lauf:
+- täglich um 02:30 UTC
+
+Timer:
+- restic-backup.timer
+
+—
+
+# Ziele der Backupstrategie
+
+- vollständige Wiederherstellbarkeit der VPS
+- schnelle Recovery
+- Schutz vor Fehlkonfigurationen
+- Schutz vor Datenverlust
+
+—
+
+# Wiederherstellungsziele
+
+Die folgenden Bereiche müssen wiederherstellbar sein:
+
+| Bereich | Wichtigkeit |
+|—|—|
+| Docker Stacks | kritisch |
+| Reverse Proxy | kritisch |
+| authentik | kritisch |
+| WireGuard | kritisch |
+| Zertifikate | kritisch |
+| SSH Zugriff | kritisch |
+
+—
+
+# Verbesserungspotenzial
+
+## Noch offen
+
+- Restore-Test dokumentieren
+- Backup Monitoring ergänzen
+- Backup Erfolg automatisch prüfen
+- Alerting bei Fehlern
+- Dokumentierte Recovery-Anleitung
+
+—
+
+# Langfristiges Ziel
+
+Die VPS soll vollständig reproduzierbar und innerhalb kurzer Zeit wiederherstellbar sein.
--- a/VPS/docker.md
+++ b/VPS/docker.md
@ -0,0 +1,128 @@
+# Docker Übersicht
+
+## Docker Netzwerke
+
+| Netzwerk | Zweck |
+|—|—|
+| proxy | Hauptnetzwerk für Reverse Proxy und Dienste |
+| authentik_authentik | internes authentik Netzwerk |
+| nextcloud_internal | internes Nextcloud Netzwerk |
+| teamspeak_default | isoliertes TeamSpeak Netzwerk |
+
+—
+
+# Hauptnetzwerk „proxy“
+
+## Netzwerk
+
+- Name: proxy
+- Subnetz: 172.20.0.0/16
+
+Das proxy-Netzwerk dient als zentrale Kommunikationsschicht zwischen:
+- Nginx Proxy Manager
+- öffentlichen Diensten
+- internen Reverse-Proxy-Zielen
+
+—
+
+# Container
+
+| Container | Aufgabe | Netzwerk |
+|—|—|—|
+| npm | Reverse Proxy | proxy |
+| authentik-server | SSO Frontend | proxy |
+| authentik-worker | Hintergrundprozesse | authentik_authentik |
+| authentik-postgresql | Datenbank | authentik_authentik |
+| authentik-redis | Cache | authentik_authentik |
+| nextcloud | Cloud-Plattform | proxy |
+| nextcloud-db | MariaDB | nextcloud_internal |
+| nextcloud-redis | Redis Cache | nextcloud_internal |
+| vaultwarden | Passwortmanager | proxy |
+| forgejo | Git Hosting | proxy |
+| collabora | Office Integration | proxy |
+| uptime-kuma | Verfügbarkeitsmonitoring | proxy |
+| netdata | Monitoring | proxy |
+| adguardhome | DNS | proxy |
+| teamspeak | Voice Server | teamspeak_default |
+| site | Statische Webseite | proxy |
+
+—
+
+# Öffentlich erreichbare Ports
+
+| Port | Dienst |
+|—|—|
+| 80 | NPM HTTP |
+| 443 | NPM HTTPS |
+| 9000 | authentik |
+| 3000 | Forgejo |
+| 2222 | Forgejo SSH |
+| 9987/UDP | TeamSpeak |
+| 10011 | TeamSpeak ServerQuery |
+| 30033 | TeamSpeak Dateitransfer |
+| 51820/UDP | WireGuard |
+
+—
+
+# Localhost-only Bindings
+
+| Port | Dienst |
+|—|—|
+| 81 | NPM Admin |
+| 3001 | Uptime Kuma |
+| 3002 | AdGuard UI |
+
+—
+
+# Docker Speicherstruktur
+
+## Basisverzeichnis
+
+```text
+/opt/
+```
+
+Jeder Dienst besitzt aktuell ein eigenes Verzeichnis.
+
+Beispiele:
+
+```text
+/opt/authentik
+/opt/nextcloud
+/opt/npm
+```
+
+—
+
+# Persistenzstrategie
+
+Die VPS nutzt überwiegend:
+- Bind Mounts
+- lokale persistente Verzeichnisse
+
+anstatt vieler benannter Docker-Volumes.
+
+Vorteile:
+- einfachere Backups
+- einfachere Migration
+- einfachere Wiederherstellung
+- bessere Übersichtlichkeit
+
+—
+
+# Aktuelle Beobachtungen
+
+## Positiv
+
+- saubere Trennung der Dienste
+- wenige Netzwerke
+- kaum Docker-Müll
+- minimale Anzahl ungenutzter Volumes
+- strukturierter Aufbau
+
+## Verbesserungspotenzial
+
+- unnötige öffentliche Portfreigaben reduzieren
+- Compose-Strukturen vereinheitlichen
+- Labels und Restart Policies standardisieren
+- Netzwerk-Namenskonventionen vereinheitlichen
--- a/VPS/known-issues.md
+++ b/VPS/known-issues.md
@ -0,0 +1,47 @@
+# Bekannte Themen / Verbesserungspotenzial
+
+## Security
+
+- authentik aktuell direkt öffentlich erreichbar
+- Forgejo öffentlich exposed
+- öffentliche Ports teilweise historisch gewachsen
+
+—
+
+## Dokumentation
+
+- WireGuard Peers noch nicht vollständig benannt
+- Domains/Subdomains noch nicht dokumentiert
+- Compose Standards noch nicht vereinheitlicht
+
+—
+
+## Monitoring
+
+- kein zentrales Alerting
+- Backup Monitoring fehlt
+- VPN Monitoring ausbaufähig
+
+—
+
+## Docker
+
+- Compose-Dateien unterschiedlich aufgebaut
+- Netzwerk-Namenskonventionen uneinheitlich
+- Logging noch nicht standardisiert
+
+—
+
+## Backups
+
+- Restore-Prozess noch nicht dokumentiert
+- kein regelmäßiger Restore-Test
+
+—
+
+## Langfristige Themen
+
+- Matrix Server
+- zentrale Benachrichtigungen
+- vollständige Infrastructure-as-Code Struktur
+- automatische Inventarisierung
--- a/VPS/maintenance.md
+++ b/VPS/maintenance.md
@ -0,0 +1,65 @@
+# Wartung und Betrieb
+
+## Regelmäßige Aufgaben
+
+### Täglich
+
+- Monitoring prüfen
+- Uptime Kuma Alerts prüfen
+- CrowdSec Events prüfen
+
+—
+
+### Wöchentlich
+
+- Docker Container Status prüfen
+- verfügbare Updates prüfen
+- Backup Logs prüfen
+- freien Speicherplatz prüfen
+
+—
+
+### Monatlich
+
+- Restore-Prozess testen
+- ungenutzte Docker Images entfernen
+- Logs prüfen
+- Sicherheitsreview durchführen
+
+—
+
+# Automatische Wartung
+
+## Bereits vorhanden
+
+| Funktion | Status |
+|—|—|
+| apt Updates | aktiv |
+| Security Updates | aktiv |
+| restic Backup | aktiv |
+| logrotate | aktiv |
+| CrowdSec Updates | aktiv |
+
+—
+
+# Geplante Automatisierung
+
+| Funktion | Status |
+|—|—|
+| Docker Cleanup | geplant |
+| Journal Cleanup | geplant |
+| Backup Validation | geplant |
+| Health Reports | geplant |
+| Matrix Alerts | geplant |
+
+—
+
+# Wartungsziele
+
+Die VPS soll möglichst:
+- wartungsarm
+- stabil
+- nachvollziehbar
+- automatisiert
+
+betrieben werden.
--- a/VPS/monitoring.md
+++ b/VPS/monitoring.md
@ -0,0 +1,121 @@
+# Monitoring Dokumentation
+
+## Monitoring Stack
+
+Die VPS nutzt aktuell mehrere Monitoring-Lösungen mit unterschiedlichen Aufgabenbereichen.
+
+—
+
+# Verwendete Systeme
+
+| Dienst | Aufgabe |
+|—|—|
+| Netdata | Live-Systemmonitoring |
+| Uptime Kuma | Verfügbarkeitsmonitoring |
+| CrowdSec | Sicherheitsmonitoring |
+| Ubuntu Timer | Wartung / Updates |
+
+—
+
+# Netdata
+
+## Aufgabe
+
+Netdata überwacht:
+- CPU
+- RAM
+- Prozesse
+- Netzwerk
+- Docker
+- Festplatten
+- Systemmetriken
+
+Container:
+- netdata
+
+—
+
+# Uptime Kuma
+
+## Aufgabe
+
+Uptime Kuma überwacht:
+- externe Erreichbarkeit
+- HTTPS Checks
+- Zertifikate
+- Dienste
+- Domains
+
+Container:
+- uptime-kuma
+
+Localhost Binding:
+
+```text
+127.0.0.1:3001
+```
+
+—
+
+# CrowdSec
+
+## Aufgabe
+
+CrowdSec überwacht:
+- Loginversuche
+- Angriffe
+- bekannte Bad IPs
+
+Integration:
+- nftables
+- Docker
+- Reverse Proxy
+
+—
+
+# Systemd Timer
+
+## Aktive Wartungstimer
+
+| Timer | Aufgabe |
+|—|—|
+| apt-daily.timer | Paketupdates |
+| apt-daily-upgrade.timer | Sicherheitsupdates |
+| restic-backup.timer | Backups |
+| logrotate.timer | Logrotation |
+| crowdsec-hub-update.timer | CrowdSec Updates |
+
+—
+
+# Aktuelle Beobachtungen
+
+## Positiv
+
+- mehrere Monitoring-Ebenen vorhanden
+- Backups automatisiert
+- CrowdSec integriert
+- geringe Systemlast
+- ausreichende Leistungsreserven
+
+—
+
+# Verbesserungspotenzial
+
+## Noch offen
+
+- zentrales Alerting
+- Matrix Integration
+- Backup Fehler Monitoring
+- Zertifikatswarnungen
+- VPN Health Checks
+- Docker Health Alerts
+
+—
+
+# Langfristiges Ziel
+
+Das Monitoring soll:
+- frühzeitig Probleme erkennen
+- automatisch benachrichtigen
+- Fehlkonfigurationen sichtbar machen
+- möglichst wartungsarm funktionieren
--- a/VPS/networking.md
+++ b/VPS/networking.md
@ -0,0 +1,97 @@
+# VPS Netzwerk
+
+## Öffentliches Netzwerk
+
+| Interface | Adresse |
+|—|—|
+| eth0 | 46.225.176.170 |
+
+—
+
+# VPN
+
+## WireGuard
+
+Die VPS dient als zentraler WireGuard-Hub zwischen:
+- VPS
+- Heimnetz
+- zusätzlichen Clients
+
+Interface:
+- wg0
+
+Listening Port:
+- 51820/UDP
+
+—
+
+# Heimnetz Routing
+
+Folgende Route wird aktuell über WireGuard bereitgestellt:
+
+```text
+192.168.0.0/24
+```
+
+Dadurch kann die VPS interne Dienste im Heimnetz sicher über VPN erreichen.
+
+—
+
+# Firewall / Paketfilterung
+
+## Aktueller Zustand
+
+UFW ist nicht aktiv.
+
+Stattdessen nutzt die VPS:
+- nftables
+- Docker-verwaltete Firewallregeln
+- CrowdSec Integration
+
+—
+
+# Sicherheitslayer
+
+| Layer | Aufgabe |
+|—|—|
+| Docker nftables Regeln | Container-Isolation |
+| CrowdSec | Dynamische Blockierung |
+| WireGuard | Sicherer privater Zugriff |
+| NPM | TLS Terminierung |
+
+—
+
+# Docker Netzwerkarchitektur
+
+## proxy Netzwerk
+
+Subnetz:
+
+```text
+172.20.0.0/16
+```
+
+Wichtige Dienste:
+- NPM
+- authentik
+- Nextcloud
+- Vaultwarden
+- Forgejo
+- Monitoring-Dienste
+
+—
+
+# Aktuelle Sicherheitsbeobachtungen
+
+## Positiv
+
+- interne Docker-Segmentierung vorhanden
+- RAW nftables Isolationsregeln aktiv
+- Localhost Bindings bereits genutzt
+- CrowdSec in INPUT Chain integriert
+
+## Mögliche Verbesserungen
+
+- direkten öffentlichen Zugriff auf authentik entfernen
+- öffentliche Erreichbarkeit von Forgejo prüfen
+- Rolle von AdGuard auf der VPS bewerten
--- a/VPS/overview.md
+++ b/VPS/overview.md
@ -0,0 +1,101 @@
+# VPS Übersicht
+
+## Allgemeine Informationen
+
+| Eigenschaft | Wert |
+|—|—|
+| Hostname | ubuntu-8gb-nbg1-1 |
+| Anbieter | Hetzner Cloud |
+| Standort | nbg1 (Nürnberg) |
+| Betriebssystem | Ubuntu 24.04.4 LTS |
+| Kernel | 6.8.0-117-generic |
+| Öffentliche IP | 46.225.176.170 |
+| Hauptbenutzer | mbyte |
+| Container Runtime | Docker |
+
+—
+
+# Aufgabe der VPS
+
+Die VPS dient als öffentliche Edge-Infrastruktur des Homelabs.
+
+Hauptaufgaben:
+
+- Öffentlicher Reverse Proxy
+- Authentifizierung / SSO
+- VPN-Gateway
+- Sicherheitslayer
+- Öffentlicher Einstiegspunkt für interne Dienste
+- Externes Monitoring
+
+—
+
+# Hauptdienste
+
+| Dienst | Aufgabe |
+|—|—|
+| Nginx Proxy Manager | Reverse Proxy und TLS |
+| authentik | SSO / Identity Provider |
+| CrowdSec | Intrusion Prevention |
+| WireGuard | VPN-Tunnel ins Heimnetz |
+| Nextcloud | Cloud / Kollaboration |
+| Vaultwarden | Passwortmanager |
+| Forgejo | Git Hosting |
+| Uptime Kuma | Verfügbarkeitsmonitoring |
+| Netdata | Systemmonitoring |
+| AdGuard Home | DNS-Dienst |
+| Collabora | Office-Integration |
+| TeamSpeak | Voice-Server |
+
+—
+
+# Infrastruktur-Architektur
+
+Internet
+↓
+VPS
+├── Nginx Proxy Manager
+├── authentik
+├── CrowdSec
+├── WireGuard
+├── Öffentliche Dienste
+└── Monitoring
+↓ VPN
+Heimnetz
+├── Unraid
+├── internes NPM
+├── Home Assistant
+├── Seafile
+├── Immich
+└── interne Dienste
+
+—
+
+# Ressourcenverbrauch
+
+## Aktueller Status (2026-05-26)
+
+| Ressource | Nutzung |
+|—|—|
+| CPU Load | niedrig |
+| RAM Nutzung | ~34% |
+| Festplattennutzung | ~17% |
+| Swap | 0% |
+
+Die VPS besitzt aktuell deutliche Leistungsreserven.
+
+—
+
+# Zielbild
+
+Die VPS soll langfristig:
+
+- stabil
+- selbstwartend
+- dokumentiert
+- leicht wiederherstellbar
+- sicher
+- wartungsarm
+- vollständig überwacht
+
+sein.
--- a/VPS/security.md
+++ b/VPS/security.md
@ -0,0 +1,107 @@
+# Sicherheitsdokumentation
+
+## Sicherheitsarchitektur
+
+Die VPS nutzt mehrere Sicherheitslayer.
+
+—
+
+# Sicherheitskomponenten
+
+| Komponente | Aufgabe |
+|—|—|
+| CrowdSec | Dynamische Angriffsblockierung |
+| nftables | Paketfilterung |
+| Docker Netzwerkisolierung | Segmentierung |
+| WireGuard | Sicherer Fernzugriff |
+| Nginx Proxy Manager | TLS Terminierung |
+| authentik | Zentrale Authentifizierung |
+
+—
+
+# Firewall
+
+## Aktueller Zustand
+
+UFW ist deaktiviert.
+
+Die VPS nutzt stattdessen:
+- nftables
+- Docker-verwaltete Regeln
+- CrowdSec Integration
+
+—
+
+# Docker Isolation
+
+Die Docker-Netzwerke sind durch nftables-Regeln segmentiert.
+
+Vorhanden:
+- RAW Regeln
+- Netzwerkisolation
+- Interface-basierte Filterung
+
+—
+
+# Öffentlich erreichbare Dienste
+
+| Dienst | Port |
+|—|—|
+| NPM | 80 / 443 |
+| Forgejo | 3000 |
+| Forgejo SSH | 2222 |
+| authentik | 9000 |
+| TeamSpeak | 9987 / 10011 / 30033 |
+| WireGuard | 51820 |
+
+—
+
+# Lokale Bindings
+
+Folgende Dienste sind nur lokal erreichbar:
+
+| Dienst | Binding |
+|—|—|
+| NPM Admin | 127.0.0.1:81 |
+| Uptime Kuma | 127.0.0.1:3001 |
+| AdGuard UI | 127.0.0.1:3002 |
+
+—
+
+# Sicherheitsbeobachtungen
+
+## Positiv
+
+- CrowdSec aktiv
+- Docker Netzwerksegmentierung
+- Localhost Bindings vorhanden
+- VPN sauber getrennt
+- geringe Angriffsfläche des Hosts
+
+—
+
+# Verbesserungspotenzial
+
+## Hohe Priorität
+
+- authentik nicht direkt öffentlich exposen
+- Forgejo Exposure prüfen
+- öffentliche Ports reduzieren
+
+—
+
+# Mittlere Priorität
+
+- Compose Standards vereinheitlichen
+- zentrale Loggingstrategie
+- automatische Sicherheitsbenachrichtigungen
+
+—
+
+# Langfristige Ziele
+
+- minimale Angriffsfläche
+- vollständig dokumentierte Infrastruktur
+- automatisierte Sicherheitsüberwachung
+- reproduzierbare Konfiguration
+- wartungsarme Architektur
--- a/VPS/services.md
+++ b/VPS/services.md
@ -0,0 +1,71 @@
+# Dienste Übersicht
+
+## Reverse Proxy
+
+| Dienst | Beschreibung |
+|—|—|
+| Nginx Proxy Manager | Öffentlicher Reverse Proxy |
+| authentik | Zentrale Authentifizierung |
+
+—
+
+## Cloud / Produktivität
+
+| Dienst | Beschreibung |
+|—|—|
+| Nextcloud | Cloud Plattform |
+| Collabora | Office Integration |
+| Vaultwarden | Passwortmanager |
+
+—
+
+## Infrastruktur
+
+| Dienst | Beschreibung |
+|—|—|
+| WireGuard | VPN |
+| CrowdSec | Angriffsschutz |
+| AdGuard Home | DNS |
+| Forgejo | Git Hosting |
+
+—
+
+## Monitoring
+
+| Dienst | Beschreibung |
+|—|—|
+| Netdata | Live Monitoring |
+| Uptime Kuma | Uptime Monitoring |
+
+—
+
+## Kommunikation
+
+| Dienst | Beschreibung |
+|—|—|
+| TeamSpeak | Voice Server |
+
+—
+
+# SSO Status
+
+| Dienst | SSO |
+|—|—|
+| Nextcloud | aktiv |
+| Vaultwarden | aktiv |
+| Immich | aktiv |
+| Forgejo | geplant |
+| Matrix | geplant |
+
+—
+
+# Bekannte Abhängigkeiten
+
+| Dienst | Abhängigkeit |
+|—|—|
+| Nextcloud | MariaDB |
+| Nextcloud | Redis |
+| authentik | PostgreSQL |
+| authentik | Redis |
+| Collabora | Nextcloud |
+| NPM | proxy Netzwerk |
--- a/VPS/wireguard.md
+++ b/VPS/wireguard.md
@ -0,0 +1,92 @@
+# WireGuard Dokumentation
+
+## Allgemein
+
+Die VPS dient als zentraler WireGuard-Hub zwischen:
+- VPS
+- Heimnetz
+- mobilen Clients
+- zusätzlichen Geräten
+
+Interface:
+- wg0
+
+Listening Port:
+- 51820/UDP
+
+—
+
+# VPN Netzwerk
+
+## WireGuard Subnetz
+
+```text
+10.100.0.0/24
+```
+
+—
+
+# Heimnetz Routing
+
+Folgende Route wird über den Heimnetz-Peer bereitgestellt:
+
+```text
+192.168.0.0/24
+```
+
+Dadurch kann die VPS interne Dienste zuhause sicher erreichen.
+
+—
+
+# Aktuelle Peers
+
+| Peer | Allowed IPs | Beschreibung |
+|—|—|—|
+| 10.100.0.4 | 10.100.0.4/32 | Client |
+| 10.100.0.6 | 10.100.0.6/32 | Client |
+| 10.100.0.55 | 10.100.0.55/32 | Client |
+| 10.100.0.2 | 10.100.0.2/32 | Client |
+| 10.100.0.3 | 10.100.0.3/32 | Client |
+| 10.100.0.5 | 10.100.0.5/32 | Client |
+| 10.100.0.10 | 10.100.0.10/32 + 192.168.0.0/24 | Heimnetz Gateway |
+| 10.100.0.7 | 10.100.0.7/32 | Client |
+
+—
+
+# Beobachtungen
+
+## Positiv
+
+- Saubere /32 Zuordnung pro Client
+- Heimnetz sauber über separaten Peer geroutet
+- Keine offensichtlichen Routing-Konflikte
+- Keepalive sauber konfiguriert
+
+—
+
+# Verbesserungspotenzial
+
+## Dokumentation ergänzen
+
+Aktuell fehlen:
+- Gerätenamen
+- Zuordnung der Peers
+- Zweck einzelner Clients
+
+Empfehlung:
+
+| VPN IP | Gerät | Zweck |
+|—|—|—|
+| 10.100.0.x | MacBook | Mobiler Zugriff |
+| 10.100.0.x | Unraid | Heimnetz Gateway |
+| ... | ... | ... |
+
+—
+
+# Langfristige Ziele
+
+- Vollständige Peer-Dokumentation
+- Backup der WireGuard-Konfiguration
+- Monitoring des VPN-Tunnels
+- Alerting bei Tunnel-Ausfall
+- Optional QR-Code Archivierung