# VPS Netzwerk

## Öffentliches Netzwerk

| Interface | Adresse |
|—|—|
| eth0 | 46.225.176.170 |

—

# VPN

## WireGuard

Die VPS dient als zentraler WireGuard-Hub zwischen:
- VPS
- Heimnetz
- zusätzlichen Clients

Interface:
- wg0

Listening Port:
- 51820/UDP

—

# Heimnetz Routing

Folgende Route wird aktuell über WireGuard bereitgestellt:

```text
192.168.0.0/24
```

Dadurch kann die VPS interne Dienste im Heimnetz sicher über VPN erreichen.

—

# Firewall / Paketfilterung

## Aktueller Zustand

UFW ist nicht aktiv.

Stattdessen nutzt die VPS:
- nftables
- Docker-verwaltete Firewallregeln
- CrowdSec Integration

—

# Sicherheitslayer

| Layer | Aufgabe |
|—|—|
| Docker nftables Regeln | Container-Isolation |
| CrowdSec | Dynamische Blockierung |
| WireGuard | Sicherer privater Zugriff |
| NPM | TLS Terminierung |

—

# Docker Netzwerkarchitektur

## proxy Netzwerk

Subnetz:

```text
172.20.0.0/16
```

Wichtige Dienste:
- NPM
- authentik
- Nextcloud
- Vaultwarden
- Forgejo
- Monitoring-Dienste

—

# Aktuelle Sicherheitsbeobachtungen

## Positiv

- interne Docker-Segmentierung vorhanden
- RAW nftables Isolationsregeln aktiv
- Localhost Bindings bereits genutzt
- CrowdSec in INPUT Chain integriert

## Mögliche Verbesserungen

- direkten öffentlichen Zugriff auf authentik entfernen
- öffentliche Erreichbarkeit von Forgejo prüfen
- Rolle von AdGuard auf der VPS bewerten