# VPS Netzwerk

## Öffentliches Netzwerk

| Interface | Adresse |
|---|---|
| eth0 | 46.225.176.170 |

---

## VPN

### WireGuard

Die VPS dient als zentraler WireGuard-Hub zwischen:

- VPS
- Heimnetz
- zusätzlichen Clients

Interface:

- wg0

Listening Port:

- 51820/UDP

---

## Heimnetz Routing

Folgende Route wird aktuell über WireGuard bereitgestellt:

```text
192.168.0.0/24
```

Dadurch kann die VPS interne Dienste im Heimnetz sicher über VPN erreichen.

---

## Firewall / Paketfilterung

### Aktueller Zustand

UFW ist nicht aktiv.

Stattdessen nutzt die VPS:

- nftables
- Docker-verwaltete Firewallregeln
- CrowdSec Integration

---

## Sicherheitslayer

| Layer | Aufgabe |
|---|---|
| Docker nftables Regeln | Container-Isolation |
| CrowdSec | Dynamische Blockierung |
| WireGuard | Sicherer privater Zugriff |
| NPM | TLS Terminierung |

---

## Docker Netzwerkarchitektur

### proxy Netzwerk

Subnetz:

```text
172.20.0.0/16
```

Wichtige Dienste:

- NPM
- authentik
- Nextcloud
- Vaultwarden
- Forgejo
- Monitoring-Dienste

---

## Aktuelle Sicherheitsbeobachtungen

### Positiv

- interne Docker-Segmentierung vorhanden
- RAW nftables Isolationsregeln aktiv
- Localhost Bindings bereits genutzt
- CrowdSec in INPUT Chain integriert

### Mögliche Verbesserungen

- direkten öffentlichen Zugriff auf authentik entfernen
- öffentliche Erreichbarkeit von Forgejo prüfen
- Rolle von AdGuard auf der VPS bewerten