Bind AdGuard admin to Tailscale

2026-05-26 14:55:49 +02:00
parent 1d0cba92bd
commit 5cb401797d
19 changed files with 1588 additions and 16 deletions
@@ -0,0 +1,106 @@
+# Network Inventory - KalliLab CORE
+
+Status: Initialer Host-Audit erfasst, Router-/VLAN-Details offen.
+Letzte Pruefung: 2026-05-26
+
+## Zweck
+
+Dieses Dokument beschreibt Router, DNS, Tailscale, Portfreigaben und Netztrennung. Es ergaenzt das Architektur-Zielbild in `HOMELAB_ARCHITECTURE_MASTER_V2.md` um konkrete Hardware- und Betriebswerte.
+
+## Internet und Router
+
+| Feld | Wert |
+|---|---|
+| Anschluss / Provider | TBD |
+| Router-Modell | TBD |
+| Firmware | TBD |
+| Router-IP | 192.168.178.1 |
+| DHCP-Server | vermutlich Router, zu pruefen |
+| Lokales Subnetz | 192.168.178.0/24 |
+| IPv6 aktiv | TBD |
+| DynDNS / DDNS | Cloudflare via `ddns-updater`, Details TBD |
+
+## DNS
+
+| Komponente | Rolle | Adresse | Bemerkung |
+|---|---|---|---|
+| AdGuard Home | LAN DNS / Filter | Host `192.168.178.58`, Docker `172.23.0.3` | DNS auf Port 53; Admin soll nur via Tailscale-IP `100.80.98.33:8082` erreichbar sein |
+| Unbound | Rekursiver Resolver | Docker `dns_net` | Upstream fuer AdGuard |
+| Cloudflare | Authoritative DNS | extern | DNS-Challenge fuer TLS |
+| Router | DHCP DNS-Verteilung | TBD | Muss auf AdGuard zeigen, falls so betrieben |
+
+## Tailscale
+
+| Feld | Wert |
+|---|---|
+| Node-Name | Kallilabcore |
+| Tailscale IPv4 | 100.80.98.33 |
+| Tailscale IPv6 | TBD |
+| Exit Node | TBD |
+| Subnet Router | TBD |
+| ACL-Policy extern dokumentiert | TBD |
+
+Pruefkommando:
+
+```bash
+tailscale status
+tailscale ip -4
+tailscale ip -6
+```
+
+## Portfreigaben und Exposure
+
+| Port | Ziel | Zweck | Bewertung |
+|---:|---|---|---|
+| 80/tcp | Traefik | HTTP->HTTPS / ACME | erwartet |
+| 443/tcp | Traefik | HTTPS | erwartet |
+| 222/tcp | Gitea SSH | Git SSH | dokumentierte Ausnahme |
+| 53/tcp+udp | AdGuard | DNS | dokumentierte Ausnahme |
+| 8082/tcp | AdGuard Admin | Admin UI | Repo-Soll: nur `100.80.98.33:8082`, DNS-Port 53 unveraendert |
+| 8181/tcp | InfluxDB 3 Core | LAN Writer fuer Home Assistant | LAN-only, Bind-IP pruefen |
+
+Pruefkommando:
+
+```bash
+ss -ltnp | sort -k4
+docker ps --format "{{.Names}}: {{.Ports}}" | sort
+```
+
+## Netztrennung
+
+| Netz | Status | Bemerkung |
+|---|---|---|
+| LAN | 192.168.178.0/24 | Hauptnetz, Host `192.168.178.58` |
+| Gast-WLAN | TBD | Zugriff auf AdGuard Admin muss ausgeschlossen sein |
+| IoT-Netz | TBD | Zugriff auf AdGuard Admin muss ausgeschlossen sein |
+| Tailscale | aktiv | Operator-Zugang, Host-IP `100.80.98.33` |
+| VLANs | TBD | Router-/Switch-Faehigkeit pruefen |
+
+## Docker-Netze
+
+Authoritativ ist `HOMELAB_ARCHITECTURE_MASTER_V2.md`. Dieses Inventar haelt nur den Laufzeit-Snapshot fest.
+
+| Docker-Netz | Zweck | Erwartung |
+|---|---|---|
+| frontend_net | Traefik/Web | external bridge |
+| backend_net | DB/Cache intern | internal bridge |
+| dns_net | AdGuard/Unbound | bridge |
+| monitoring_net | Observability | compose-intern |
+| app-interne Netze | Stack-isoliert | nur wenn technisch noetig |
+
+Pruefkommando:
+
+```bash
+docker network ls
+docker network inspect frontend_net | jq '.[0].Containers | keys'
+docker network inspect backend_net | jq '.[0].Internal'
+```
+
+## Offene Entscheidungen
+
+| Thema | Status | Naechster Schritt |
+|---|---|---|
+| AdGuard Admin nur via Tailscale | repo-seitig vorbereitet | Compose bindet Admin-Port auf `100.80.98.33:8082`; Live-Validierung nach Deploy |
+| Gast-/IoT-Zugriff auf Admin-Ports | offen | Router-Regeln pruefen |
+| IPv6 Exposure | offen | Router und Traefik/Cloudflare pruefen |
+| Home Assistant InfluxDB Bind | offen | Effektive Listener-Adresse pruefen |