Zum Inhalt

AI VLAN 70 Control Plane

Stand: 2026-05-26

Das aktuelle VLAN70-Migrationsdiagramm und die Lessons Learned stehen in der Diagrammübersicht und unter Lessons Learned VLAN70.

Ziel

Diese Seite dokumentiert die Control Plane und die kontrollierten Canary-Schritte der Lanstyle AI Suite in VLAN 70 LS_AI_Services.

NPM-Backends der AI-Suite wurden kontrolliert per NPM-API auf direkte VLAN70-Upstream-IPs umgestellt. GB10/Ollama und Agent Runtime laufen inzwischen VLAN70-only; andere AI-Gäste werden separat weiter beobachtet. Es wurden keine Firewall-Deny-Regeln aktiviert und keine AD-DNS-Änderungen durchgeführt.

Readiness-Status

Status: produktiver VLAN70-Betrieb fuer die zentralen AI-Pfade; verbleibende Altpfade werden nur noch komponentenweise als Rollback-/Beobachtungspfad behandelt.

Bereich Status Befund
VLAN/Gateway vorbereitet 10.222.70.1 ist vom Proxmox-Host und aus den AI-LXCs erreichbar
Ziel-IPs aktiv/reserviert .10, .11, .12, .13 und .20 sind aktiv; .21 bleibt reserviert
DNS vorbereitet UniFi DNS-Policies enthalten A-Records fuer die sechs Zielnamen; AD-DNS wurde nicht als Source of Truth genutzt
NetBox/IPAM vorbereitet Lindenstraße VLAN 70 LS_AI_Services, Prefix 10.222.70.0/24 und Ziel-IPs sind reserviert; SGJ/Jena VLAN 70 Haustechnik bleibt unverändert
NPM Canary aktiv search.lanstyle.de, ollama.lanstyle.de, litellm.lanstyle.de, mcphub.lanstyle.de und ai.lanstyle.de zeigen per Direct-IP auf VLAN70
Firewall vorbereitet UniFi-Allow-Regeln sind aktiv; keine Deny-/Block-Regeln aktiviert
Backups/Snapshots vorbereitet Snapshots und Config-Backups vlan70-pre-migration-20260525-2109/2110 wurden erstellt
ai.lanstyle.de E2E erfolgreich Login, Modellliste, Chat mit litellm.lanstyle/agent-stable, Tool-Endpunkte und parallele Requests erfolgreich; Uploads/lange Multi-User-Sessions weiter beobachten

Zielnetz und Zielobjekte

Komponente Aktuell Ziel-IP Ziel-DNS Port/Rolle
Open WebUI produktiv 10.222.70.10 10.222.70.10 openwebui.ad.lanstyle.de 8080
Ollama/GB10 aktiv nur 10.222.70.11 10.222.70.11 ollama.ad.lanstyle.de 11434
SearXNG produktiv 10.222.70.12 10.222.70.12 searxng.ad.lanstyle.de 8888
Open Terminal aktiv nur 10.222.70.13 10.222.70.13 openterminal.ad.lanstyle.de 8001-8004
Agent Runtime / LiteLLM / MCPHub aktiv nur 10.222.70.20 10.222.70.20 agent-runtime.ad.lanstyle.de 3000, 3010, 4000, 6333, 6334
UP AI Port 10.0.12.85 10.222.70.21 up-ai-port.ad.lanstyle.de AI Hardware

NetBox/IPAM Plan

Umgesetzter Stand:

  • Das zuvor auffällige VLAN 70 mit Prefix 10.7.0.0/24 ist legitimer SGJ/Jena-Bestand (Haustechnik) und darf nicht verändert werden.
  • Für Lindenstraße wurde ein eigener Scope vorbereitet: Site Lanstyle Lindenstrasse, Tenant Lanstyle IT Solutions GmbH.
  • Neu vorbereitet: VLAN 70 LS_AI_Services, Prefix 10.222.70.0/24, Gateway 10.222.70.1/24 und die reservierten Ziel-IPs.
  • Tags: migration-vlan70, lanstyle-ai-suite, lindenstrasse.
  • Vor und nach der Änderung wurden NetBox-Exports gesichert.

Reservierte IPs:

IP Rolle DNS
10.222.70.1/24 Gateway -
10.222.70.10/24 Open WebUI openwebui.ad.lanstyle.de
10.222.70.11/24 Ollama/GB10 ollama.ad.lanstyle.de
10.222.70.12/24 SearXNG searxng.ad.lanstyle.de
10.222.70.13/24 Open Terminal openterminal.ad.lanstyle.de
10.222.70.20/24 Agent Runtime / LiteLLM / MCPHub agent-runtime.ad.lanstyle.de
10.222.70.21/24 UP AI Port up-ai-port.ad.lanstyle.de

Vor produktiver Migration müssen die IPs noch mit Geräte-/VM-Objekten verknüpft werden.

Rollback NetBox:

  • Keine Löschung bestehender Objekte.
  • Neue Zielobjekte bei Fehler auf planned/deprecated zurücksetzen.
  • Export/Backup vor Änderung wieder als Referenz nutzen.

DNS Plan

DNS-Quelle für diese Zielnamen ist UniFi, nicht Windows DNS auf LANDC1/LANDC2. Kurzzeitig angelegte AD-DNS-Testrecords wurden wieder entfernt.

Angelegte UniFi DNS-Policies:

DNS-Name Ziel-IP TTL-Vorschlag
openwebui.ad.lanstyle.de 10.222.70.10 300
ollama.ad.lanstyle.de 10.222.70.11 300
searxng.ad.lanstyle.de 10.222.70.12 300
openterminal.ad.lanstyle.de 10.222.70.13 300
agent-runtime.ad.lanstyle.de 10.222.70.20 300
up-ai-port.ad.lanstyle.de 10.222.70.21 300

Validierung:

  • dig @10.0.0.1 <name> A liefert die jeweilige 10.222.70.x Ziel-IP.
  • Keine Alt-Records wurden gelöscht.
  • Reverse/PTR wurde nicht vorbereitet, weil UniFi Local DNS hier als Forward-DNS-Policy genutzt wird.

Rollback DNS:

  • Neue UniFi DNS-Policies entfernen oder auf Alt-Ziel zurücksetzen, falls sie bereits für Anwendungen genutzt wurden.
  • TTL nach stabiler Migration wieder erhöhen.

Firewall-Regelmatrix

Diese Regeln sind Zielplanung. Sie wurden nicht aktiviert.

Konkrete Zielregeln

Die folgenden Allow-Regeln wurden am 2026-05-25 in UniFi/UDM Pro aktiviert. Sie bereiten Connectivity vor, erzwingen aber noch keine Segmentierung.

Regelname Source Destination Port Direction Zweck Risiko Rollback
AI70_ALLOW_NPM_OPENWEBUI_8080 NPM 10.0.0.5 / später DMZ-NPM 10.222.70.10 TCP 8080 LAN/VLAN in Backend für ai.lanstyle.de niedrig, wenn nur NPM als Quelle Regel deaktivieren, NPM Backend auf Alt-IP belassen
AI70_ALLOW_NPM_OLLAMA_11434 NPM 10.0.0.5 / später DMZ-NPM 10.222.70.11 TCP 11434 LAN/VLAN in Backend für ollama.lanstyle.de mittel, Ollama darf nicht öffentlich breit exponiert werden Regel deaktivieren, NPM Backend auf Alt-IP belassen
AI70_ALLOW_NPM_LITELLM_4000 NPM 10.0.0.5 / später DMZ-NPM 10.222.70.20 TCP 4000 LAN/VLAN in Backend für litellm.lanstyle.de mittel, zusätzlich API-Key/Access List nötig Regel deaktivieren, NPM Backend auf Alt-IP belassen
AI70_ALLOW_NPM_MCPHUB_3000 NPM 10.0.0.5 / später DMZ-NPM 10.222.70.20 TCP 3000 LAN/VLAN in Backend für mcphub.lanstyle.de mittel, nur mit Access-Konzept Regel deaktivieren, NPM Backend auf Alt-IP belassen
AI70_ALLOW_NPM_SEARXNG_8888 NPM 10.0.0.5 / später DMZ-NPM 10.222.70.12 TCP 8888 LAN/VLAN in Backend für search.lanstyle.de, falls extern weiter genutzt niedrig bis mittel, Suchdienst exponiert Regel deaktivieren, NPM Backend auf Alt-IP belassen
AI70_ALLOW_OPENWEBUI_OLLAMA_11434 10.222.70.10 10.222.70.11 TCP 11434 VLAN70 east-west Modellzugriff Open WebUI zu Ollama niedrig, gezielter App-Flow Regel deaktivieren, Open WebUI auf Alt-Ollama zurückstellen
AI70_ALLOW_OPENWEBUI_SEARXNG_8888 10.222.70.10 10.222.70.12 TCP 8888 VLAN70 east-west Websuche/RAG niedrig Regel deaktivieren, Websuche auf Alt-IP zurückstellen
AI70_ALLOW_OPENWEBUI_OPENTERMINAL_8001_8004 10.222.70.10 10.222.70.13 TCP 8001-8004 VLAN70 east-west Open-Terminal-Toolserver pro User hoch, Terminalzugriff nur von Open WebUI erlauben Regel deaktivieren, Toolserver-URLs auf Alt-IP zurückstellen
AI70_ALLOW_OPENWEBUI_TOOLSAPI_3010 10.222.70.10 10.222.70.20 TCP 3010 VLAN70 east-west Lanstyle Tools API für Open WebUI mittel, Tools bleiben read-only/plan-only Regel deaktivieren, Toolserver entfernen/deaktivieren
AI70_ALLOW_AGENT_OLLAMA_11434 10.222.70.20 10.222.70.11 TCP 11434 VLAN70 east-west LiteLLM/RAG/Embedding Backend niedrig Regel deaktivieren, LiteLLM auf Alt-Ollama zurückstellen
AI70_ALLOW_MGMT_AI_ADMIN Management/Monitoring nach Policy VLAN70 Ziele SSH/HTTPS/Healthchecks Mgmt zu VLAN70 Administration und Monitoring mittel, Quelle muss eng bleiben Regel deaktivieren oder auf einzelne Admin-IP begrenzen
AI70_ALLOW_AI_DNS VLAN70 UniFi DNS / interne Resolver TCP/UDP 53 VLAN70 out Namensauflösung niedrig Regel deaktivieren, lokale Hosts-Datei nur im Notfall
AI70_ALLOW_AI_NTP VLAN70 NTP-Ziel nach Basisregel UDP 123 VLAN70 out Zeitabgleich niedrig Regel deaktivieren, lokale Zeitquelle prüfen
AI70_ALLOW_AI_SMTP VLAN70 SMTP Relay 10.0.0.3 / später smtp.ad.lanstyle.de TCP 25 VLAN70 out Mailversand interner Dienste niedrig bis mittel Regel deaktivieren, Mailfunktionen pausieren

UniFi hat zusätzlich automatisch abgeleitete Return-Regeln erzeugt. Policy-Check: 26 AI70_* Regeln insgesamt, davon 0 Block-Regeln und 0 deaktivierte Regeln.

Explizit nicht erlauben

  • Kein pauschales VLAN 70 -> any.
  • Kein pauschales NPM -> VLAN 70 any.
  • Kein direkter Internetzugriff auf interne AI-Ports ohne NPM/Access-Control.
  • Kein Zugriff von Gäste-/IoT-/Kamera-VLANs auf AI-Services.
  • Kein Zugriff auf Qdrant 6333/6334 außerhalb Agent Runtime/Management.
  • Kein Zugriff auf Postgres/Redis von außerhalb des Agent-Runtime-Hosts.
  • Kein Open Terminal Direktzugriff aus anderen VLANs außer Open WebUI und Management.
  • Keine Proxmox-/Host-Management-Ports aus VLAN 70 ohne explizite Admin-Regel.

Rollback Firewall:

  1. AI70_* Regeln in UniFi deaktivieren, nicht löschen.
  2. Vorherigen Firewall-Export wiederherstellen.
  3. NPM- und App-Backends auf Alt-IP belassen oder zurücksetzen.
  4. Healthcheck gegen Alt-IPs ausführen.

NPM Zielmapping

Die NPM-Backends werden einzeln als Canary umgestellt. Aktuell aktiv sind search.lanstyle.de, ollama.lanstyle.de, litellm.lanstyle.de, mcphub.lanstyle.de und ai.lanstyle.de. Für AI-Streaming-/Agent-Services werden in NPM aktuell statische interne Upstream-IPs bevorzugt, weil DNS-basierte OpenResty-Upstreams nicht deterministisch genug waren.

Domain Aktuell Späteres Ziel
ai.lanstyle.de vorher 10.0.0.250:8080 aktiv seit 2026-05-26: 10.222.70.10:8080
ollama.lanstyle.de vorher 10.222.70.11:11434 aktiv seit 2026-05-25: 10.222.70.11:11434
litellm.lanstyle.de vorher 10.0.1.243:4000 aktiv seit 2026-05-25: 10.222.70.20:4000
mcphub.lanstyle.de vorher 10.0.1.243:3000 aktiv seit 2026-05-25: 10.222.70.20:3000
search.lanstyle.de vorher 10.0.1.240:8888, DNS-Canary searxng.ad.lanstyle.de:8888 aktiv seit 2026-05-26: 10.222.70.12:8888

NPM-Umstellung erst nach:

  • DNS-Records aktiv.
  • Ziel-IP auf jeweiligem Dienst aktiv.
  • Firewall-Pfad NPM zu Ziel-Port getestet.
  • App-Lokaltest erfolgreich.
  • NPM DB-Backup vorhanden.

Snapshot- und Backup-Plan

Komponente ID/Host Aktuell Backup vor Migration Config-Export Rollback
Open WebUI LXC 250 10.0.0.250/20 plus Canary 10.222.70.10/24 Snapshot vlan70-pre-migration-20260525-2109, Backup /root/config-backups/vlan70-openwebui-canary-* pct config 250, open-webui.service, /root/.env, IP-/Route-Status net1 entfernen; Service bleibt auf Alt-IP erreichbar
Open Terminal LXC 255 nur 10.222.70.13/24 Snapshot vlan70-pre-migration-20260525-2109, Backup /root/config-backups/vlan70-open-terminal-canary-* pct config 255, Docker-Portstatus Legacy-Pfad aus Backup temporär wiederherstellen und Open-WebUI-Toolserver-URLs zurücksetzen
SearXNG LXC 256 10.0.1.240/20 plus Canary 10.222.70.12/24 Snapshot vlan70-pre-migration-20260525-2109, Backup /root/config-backups/vlan70-searxng-canary-* pct config 256, /etc/searxng, systemd Status net1 entfernen; Service bleibt auf Alt-IP erreichbar
Agent Runtime LXC 259 nur 10.222.70.20/24 Snapshot vlan70-pre-migration-20260525-2109, Canary-Backups /opt/agent-runtime/backups/vlan70-agent-runtime-canary-*, /root/config-backups/vlan70-agent-runtime-net1-*, /root/config-backups/20260528-100434-agent-runtime-vlan70-only pct config 259, docker-compose.yml, IP-/Route-Status Legacy-net0 aus Backup wiederherstellen und Compose-Bindings temporär zurücksetzen
NPM LXC 308 10.0.0.5 DB/Tar-Backup im LXC /root/config-backups/vlan70-pre-migration-20260525-2110/ database.sqlite, proxy-hosts-redacted.json, npm-data-configs.tgz DB/Config zurückspielen, NPM reload/restart
Ollama/GB10 Host gb10-01 nur 10.222.70.11/24 auf enP7s7.70; Legacy-IPs 10.0.0.249 und 10.0.14.43 entfernt /home/admin/config-backups/vlan70-pre-migration-20260525-2110-ollama/, /home/admin/config-backups/vlan70-ollama-canary-*, /home/admin/config-backups/gb10-vlan70-only-20260528-012425 NetworkManager, Dispatcher-Script, systemd/Ollama, IP-/Route-Status Legacy-Parent IPv4 wieder aktivieren, Dispatcher-Script wieder aktivieren, Legacy-IP/Gateway temporär zurücksetzen
UP AI Port / UniFi UniFi UDM Pro 10.0.12.85 lokaler UniFi-Export .backups/20260525-2108-vlan70-pre-migration/ DNS, Networks, Firewall Policies/Zones, Portprofile, WLANs geplante Firewall/DNS/Portprofiländerung zurücknehmen

Migrations-Runbook

1. Agent Runtime

  • Status: VLAN70-only aktiv seit 2026-05-28; NPM-Backend-Canary aktiv seit 2026-05-26.
  • Vorprüfung: Snapshot, Compose-Config, Qdrant Snapshot, Healthcheck 24 Checks grün.
  • Initiale Änderung: zusätzliche LXC-Schnittstelle net1/eth1 mit VLAN-Tag 70 und IP 10.222.70.20/24; Alt-IP 10.0.1.243/20 blieb für Rollback aktiv.
  • Cutover 2026-05-28: Docker-Port-Bindings auf 10.222.70.20 reduziert, Proxmox-net0 entfernt, laufender Container auf eth1/10.222.70.20/24 mit Default Route via 10.222.70.1 gesetzt.
  • Test: NPM und Open WebUI erreichen 10.222.70.20:3000/3010/4000; Qdrant Health auf 6333; LiteLLM liefert ohne Key erwartetes HTTP 401; Healthcheck 26 Checks OK.
  • Stop-Kriterium: LiteLLM, MCPHub, Tools API oder Qdrant auf Alt- oder Neu-IP nicht erreichbar.
  • Rollback: Proxmox-Backup /root/config-backups/20260528-100434-agent-runtime-vlan70-only/pct-259.before.conf und Runtime-Backup /opt/agent-runtime/backups/20260528-100434-agent-runtime-vlan70-only/docker-compose.yml.bak verwenden, Legacy-net0 und alte Compose-Bindings temporär wiederherstellen, danach gezielt verifizieren.

2. SearXNG

  • Status: Canary aktiv seit 2026-05-25.
  • Vorprüfung: Snapshot, Settings-Backup, lokaler Suchtest.
  • Änderung: zusätzliche LXC-Schnittstelle net1/eth1 mit VLAN-Tag 70 und IP 10.222.70.12/24; Alt-IP 10.0.1.240/20 bleibt auf eth0.
  • Test: Open WebUI und NPM erreichen 10.222.70.12:8888; mehrere parallele Suchanfragen liefern HTTP 200.
  • Stop-Kriterium: SearXNG lokal nicht 200.
  • Rollback: net1 entfernen; SearXNG bleibt auf 10.0.1.240:8888 aktiv.

3. Open Terminal

  • Status: VLAN70-only aktiv.
  • Vorprüfung: Snapshot, Docker-Containerstatus, Altpfad-Healthchecks.
  • Initiale Änderung: zusätzliche LXC-Schnittstelle net1/eth1 mit VLAN-Tag 70 und IP 10.222.70.13/24; Alt-IP 10.0.1.253/20 blieb während des Canary auf eth0.
  • Aktueller Stand: Open Terminal ist VLAN70-only. Der frühere Legacy-Pfad 10.0.1.253:8001-8004 ist nicht mehr produktiv aktiv und bleibt nur in historischen Audit-/Rollback-Kontexten dokumentiert.
  • Test: Open WebUI und NPM erreichen 10.222.70.13:8001-8004/health mit HTTP 200.
  • Stop-Kriterium: ein User-Terminal nicht initialisierbar.
  • Rollback: Legacy-Interface und Open-WebUI-Toolserver-URLs aus Backup temporär wiederherstellen; Docker-Container bleiben auf 0.0.0.0:8001-8004 im LXC erreichbar.

4. Ollama/GB10

  • Status: VLAN70-only aktiv seit 2026-05-28.
  • Vorprüfung: Ollama aktiv, hört auf *:11434, Modelle vorhanden, aktive Runner für qwen3.6:35b-a3b, qwen3-coder-next:latest, nomic-embed-text:latest; Ziel-IP 10.222.70.11 war frei.
  • Initiale Canary-Änderung: zusätzliche NetworkManager-VLAN-Verbindung LS_AI_Services_VLAN70 auf Parent enP7s7, Interface enP7s7.70, VLAN ID 70, IP 10.222.70.11/24; Alt-IPs 10.0.14.43 und 10.0.0.249 blieben für Rollback aktiv.
  • Cutover 2026-05-28: Agent Runtime OLLAMA_API_BASE und RAG/Qdrant-Defaults wurden auf http://10.222.70.11:11434 umgestellt. Danach wurde GB10 auf VLAN70-only gesetzt: enP7s7 hat keine Legacy-IPv4 mehr, enP7s7.70 traegt 10.222.70.11/24, Default Route via 10.222.70.1, Floating-IP-Dispatcher deaktiviert.
  • Test: GB10 lokal, Open WebUI, Agent Runtime und NPM erreichen 10.222.70.11:11434 und ollama.ad.lanstyle.de:11434 mit HTTP 200; MTU-DF-Ping mit Payload 1472 erfolgreich.
  • Legacy-Test nach Cutover: 10.222.70.11:11434 und 10.0.14.43:11434 antworten nicht mehr; https://ollama.lanstyle.de/api/tags bleibt HTTP 200.
  • Modelltests: qwen3-coder-next:latest liefert sichtbaren Content, gpt-oss:120b liefert bei ausreichendem Tokenbudget sichtbaren Content, nomic-embed-text:latest liefert Embeddings bei sinnvoller Chunkgröße.
  • Hinweis: qwen3.6:35b-a3b und kurze gpt-oss:120b Prompts können Tokens im Feld thinking verbrauchen, bevor sichtbarer response-Text entsteht; das ist Modell-/Promptverhalten, kein Netzwerkfehler.
  • Nicht geändert: NPM Backend ollama.lanstyle.de, Open-WebUI-Ollama-Konfiguration, AD DNS, Firewall, Proxmox und NetBox.
  • Stop-Kriterium: /api/tags auf Alt- oder Neu-IP fällt aus, Modellgeneration über Neu-IP schlägt fehl oder alte Produktivpfade werden beeinträchtigt.
  • Rollback: Backup /home/admin/config-backups/gb10-vlan70-only-20260528-012425 verwenden, Legacy-Parent Kabelgebundene Verbindung 3 wieder auf IPv4/DHCP setzen, Dispatcher-Script 90-gb10-floating-ai-ip wieder ausführbar machen, bei Bedarf 10.0.0.249/20 und Default Route via 10.0.0.1 temporär wiederherstellen. Agent Runtime OLLAMA_API_BASE kann aus /opt/agent-runtime/backups/gb10-vlan70-only-20260528-012425 zurückgesetzt werden.

5. Open WebUI

  • Status: Canary aktiv seit 2026-05-25.
  • Vorprüfung: Open WebUI läuft nativ als open-webui.service auf 0.0.0.0:8080; LXC 250 hatte vorher nur 10.0.0.250/20.
  • Änderung: zusätzliche net1 auf vmbr0, VLAN Tag 70, IP 10.222.70.10/24; alte eth0 bleibt aktiv.
  • Test: lokal, NPM und Agent Runtime erreichen 10.222.70.10:8080 mit HTTP 200; WebSocket-Upgrade liefert HTTP 101; Open WebUI erreicht Agent Runtime, MCPHub, Tools API, SearXNG, Open Terminal und den alten Ollama-Pfad.
  • NPM-Status: ai.lanstyle.de zeigt seit 2026-05-26 per NPM-API auf die direkte VLAN70-IP 10.222.70.10:8080; Open-WebUI-App-Konfiguration, Ollama-Zielpfad und AD DNS wurden nicht geändert.
  • Stop-Kriterium: HTTP 200 auf Alt-IP oder Neu-IP fällt aus, WebSocket-Upgrade schlägt fehl oder Open-WebUI-Abhängigkeiten sind nicht erreichbar.
  • Rollback: net1 entfernen; Open WebUI bleibt auf 10.0.0.250:8080 aktiv.

6. NPM Backend-Umstellung

  • Status: Canary aktiv seit 2026-05-25/26 für search.lanstyle.de, ollama.lanstyle.de, litellm.lanstyle.de, mcphub.lanstyle.de und ai.lanstyle.de.
  • search.lanstyle.de: Proxy Host ID 48, vorher 10.0.1.240:8888, DNS-Canary searxng.ad.lanstyle.de:8888, aktiv 10.222.70.12:8888, Access List 1, Zertifikat 52, block_exploits=1.
  • ollama.lanstyle.de: Proxy Host ID 41, vorher 10.222.70.11:11434, aktiv 10.222.70.11:11434, DNS-Canary ollama.ad.lanstyle.de:11434 wegen Resolver-Fehler verworfen, Access List 4, Zertifikat 43, SSL forced, HTTP/2 und WebSocket aktiv.
  • litellm.lanstyle.de: Proxy Host ID 46, vorher 10.0.1.243:4000, aktiv 10.222.70.20:4000, Access List 1, Zertifikat 50, block_exploits=1, WebSocket aktiv, SSL Force und HTTP/2 unverändert aus.
  • mcphub.lanstyle.de: Proxy Host ID 47, vorher 10.0.1.243:3000, aktiv 10.222.70.20:3000, Access List 1, Zertifikat 51, block_exploits=1, WebSocket aktiv, SSL Force und HTTP/2 unverändert aus.
  • ai.lanstyle.de: Proxy Host ID 40, vorher 10.0.0.250:8080, aktiv 10.222.70.10:8080, Access List 3, Zertifikat 44, SSL Force aktiv, HTTP/2 aktiv, WebSocket aktiv, block_exploits=1.
  • Änderung: alle Proxy Hosts wurden ausschließlich per NPM-API bearbeitet; keine direkte SQLite-Manipulation.
  • Nicht geändert: Guest-IPs, Firewall-Deny-Regeln, AD DNS, Open-WebUI-Konfiguration, OpenCode-Konfiguration, LiteLLM-Konfiguration und MCPHub-Konfiguration.
  • Test Search: https://search.lanstyle.de/, sechs Einzelabfragen und 18 parallele Suchabfragen liefern HTTP 200; NPM Access Log zeigt Sent-to 10.222.70.12.
  • Test Ollama Direct-IP-Canary: /api/tags, /v1/models, Streaming /api/generate, qwen3-coder-next, qwen3.5, gpt-oss:120b, parallele Requests und Embeddings liefern HTTP 200; NPM Access Log zeigt Sent-to 10.222.70.11.
  • Test LiteLLM Direct-IP-Canary: /health ohne Key liefert erwartetes HTTP 401; /v1/models, Chat Completions fuer lanstyle/agent und lanstyle/architect, Streaming, Embeddings mit lanstyle/embed und 10 parallele Requests liefern HTTP 200; NPM Access Log zeigt Sent-to 10.222.70.20.
  • Test MCPHub Direct-IP-Canary: Root und /health liefern HTTP 200; geschützte API-/MCP-Pfade wie /api/tools, /mcp und /sse liefern ohne Token erwartetes HTTP 401; 16 parallele /health-Requests liefern HTTP 200; Open WebUI erreicht Root und /health; NPM Access Log zeigt Sent-to 10.222.70.20.
  • Test Open WebUI Direct-IP-Canary: https://ai.lanstyle.de/ und /api/config liefern HTTP 200; /api/models ohne Token liefert erwartetes HTTP 401; authentifiziert liefert /api/models HTTP 200 mit 11 Modellen; UI-Chat mit litellm.lanstyle/agent-stable liefert sichtbar OK VLAN70 Canary; parallele Modelllisten-Requests liefern HTTP 200; Open-Terminal-, Tools- und Function-Endpunkte liefern HTTP 200; Browser-Konsole ohne Fehler.
  • DNS-Canary-Erkenntnis Ollama: OpenResty löste ollama.ad.lanstyle.de im Upstream zeitweise auf 80.155.133.58:11434 auf und lieferte HTTP 502, obwohl die NPM-Shell das DNS-Ziel korrekt auf 10.222.70.11 auflöste. Der aktive Canary nutzt deshalb direkt 10.222.70.11.
  • Hinweise: SearXNG meldet weiterhin engine-seitige DuckDuckGo-CAPTCHA- und einzelne Wikidata-/Brave-Timeouts; Ollama/GPT-OSS kann bei großem Kontext Tokens in thinking verbrauchen, bevor sichtbarer Antworttext entsteht. lanstyle/agent ist bei längeren sichtbaren Antworten auffällig und sollte nicht als alleiniger Produktiv-Default für Open WebUI gesetzt werden.
  • Stop-Kriterium: 502/SSL/Auth-Fehler oder dauerhaft erhöhte Fehlerquote auf dem jeweiligen FQDN.
  • Rollback: Proxy Host ID 48 per NPM-API zurück auf 10.0.1.240:8888; Proxy Host ID 41 per NPM-API zurück auf 10.222.70.11:11434; Proxy Host ID 46 per NPM-API zurück auf 10.0.1.243:4000; Proxy Host ID 47 per NPM-API zurück auf 10.0.1.243:3000; Proxy Host ID 40 per NPM-API zurück auf 10.0.0.250:8080.

7. Finaler Healthcheck

  • Systemd Healthcheck auf LXC 257 ausführen.
  • Open WebUI Toolserver initialisieren prüfen.
  • RAG/Qdrant Status prüfen.
  • NPM und öffentliche Endpunkte prüfen.
  • Migrationsnotiz mit Zeitpunkt, Tests und Rollback-Fenster dokumentieren.

Stop-Kriterien

Kriterium Status
Kein Snapshot/Backup vorhanden erfüllt, Snapshots/Backups erstellt
Gateway 10.222.70.1 nicht erreichbar erfüllt, Gateway erreichbar
Routing aus relevanten Quellnetzen unklar teilweise offen, aus PVE/LXCs OK, Management/NPM/Clients noch testen
NPM-Backend-Mapping unklar erfüllt, Mapping dokumentiert
Open WebUI/Ollama/SearXNG/Agent Runtime Abhängigkeiten unbekannt erfüllt, aktuelle Kernabhängigkeiten dokumentiert
Secrets müssten offengelegt werden erfüllt, keine Secrets nötig
Rollback nicht nachvollziehbar teilweise offen, Runbook vorhanden, Snapshots fehlen noch

Nächste Freigaben

  1. Beobachtungsphase für ai.lanstyle.de auf 10.222.70.10:8080: NPM Access/Error Logs, Open-WebUI-Logs, Healthcheck und Benutzerfeedback überwachen.
  2. Datei-Uploads, sehr lange Chats und mehrere gleichzeitige Benutzer über ai.lanstyle.de weiter beobachten.
  3. Verknüpfung der reservierten NetBox-IPs mit den konkreten Geräte-/VM-Objekten abschließen.
  4. Erst nach stabiler Beobachtungsphase separate Freigabe für Alt-IP-Entfernung, NPM-Cleanup und Firewall-Härtung einholen.