Zum Inhalt

App-Level-Abhaengigkeiten

Stand: 2026-06-07

Quellen: - NPM Export aus LXC 308 - n8n Runtime-/Workflow-Hinweise aus LXC 257 - AI Suite aus LXC 250, 255, 256, 259 - ARR-/Medien-DB-Hinweise aus LXC 402, 404, 405, 406, 407, 408, 410, 411, 412, 414, 415, 416 - NetBox VLAN Group Schreibaktion .backups/netbox_vlan_group_create_20260525_172704

Es wurden keine App-Konfigurationen geaendert. API-Keys, Passwoerter und Tokens wurden nicht dokumentiert.

NetBox

Objekt Status Hinweis
VLAN Group Lindenstrasse angelegt Scope Lanstyle Lindenstrasse, ID 1
Ziel-VLANs/Prefixes/IPs noch nicht geschrieben naechster Schritt nur nach separater Freigabe

NPM Backend-Abhaengigkeiten

Alle aktiven Proxy Hosts zeigen aktuell noch auf Alt-IPs oder externe Ziele. NPM darf deshalb erst migriert werden, wenn alle Backend-Ziele entweder bereits migriert oder als interne DNS-Namen stabil erreichbar sind.

Hostname Aktuelles Backend Zielplanung
ai.lanstyle.de 10.0.0.250:8080 openwebui.ad.lanstyle.de:8080 / 10.222.70.10
ollama.lanstyle.de 10.222.70.11:11434 ollama.ad.lanstyle.de:11434 / 10.222.70.11
litellm.lanstyle.de 10.0.1.243:4000 agent-runtime.ad.lanstyle.de:4000 / 10.222.70.20
mcphub.lanstyle.de 10.0.1.243:3000 agent-runtime.ad.lanstyle.de:3000 / 10.222.70.20
n8n.lanstyle.de 10.0.1.241:5678 n8n.ad.lanstyle.de:5678 / 10.222.40.35
git.lanstyle.de 10.0.1.251:3000 gitea.ad.lanstyle.de:3000 / 10.222.40.31
wiki.lanstyle.de 10.0.0.252:80 wiki.ad.lanstyle.de:80 / 10.222.40.32
vault.lanstyle.de 10.0.1.242:8000 vaultwarden.ad.lanstyle.de:8000 / 10.222.40.33
netbox.lanstyle.de 10.0.0.207:443 netbox.ad.lanstyle.de:443 / 10.222.40.34
grafana.epxm.de 10.222.60.12:3000 erledigt; UDM Local DNS grafana.ad.lanstyle.de aktiv
wazuh.lanstyle.de 10.222.60.10:443 erledigt; UDM Local DNS wazuh.ad.lanstyle.de noch nachpflegen
paperless.lanstyle.de, paperless.s.lanstyle.de 10.0.0.236:8000 Paperless Lanstyle Ziel-IP
paperless.epxm.de, paperless.epxm.lan64.de 10.0.0.237:8000 Paperless EPXM Ziel-IP
paperless-old.lanstyle.de 10.0.0.235:8000 Paperless bis2024 Ziel-IP
plex.epxm.de 10.0.0.190:32400 plex.ad.lanstyle.de:32400 / 10.222.150.10
filme.epxm.de 10.0.0.37:5055 Overseerr Ziel-IP
Radarr.s.lanstyle.de 10.0.0.36:7878 Radarr Ziel-IP
usenet.s.lanstyle.de 10.0.0.34:7777 SABnzbd Ziel-IP
ha.epxm.de 10.0.0.230:8123 Home Assistant Eberhardt Ziel-IP
ha-stein.epxm.de 10.0.2.39:8123 aktuell defekt; wahrscheinlich DHCP-Lease/Alt-IP, nicht fuer Migration blockierend
hkknx.epxm.de, hkknx.s.lanstyle.de 10.0.0.231:8080 hkknx.ad.lanstyle.de:8080 / 10.222.160.12
pve.lanstyle.de, pve.s.lanstyle.de 10.0.0.220:8006 pve.ad.lanstyle.de:8006 / 10.222.20.10
netdata.s.lanstyle.de 10.0.0.220:19999 Proxmox/Netdata Zielregel
radius.lanstyle.de 10.0.0.251:80 radius.ad.lanstyle.de:80 / 10.222.40.36

n8n

Abhaengigkeit Aktueller Wert Ziel
Service-Port 0.0.0.0:5678 bleibt App-Port
Public Host n8n.lanstyle.de bleibt oeffentlicher FQDN ueber NPM
Editor/Webhook URL https://n8n.lanstyle.de bleibt FQDN, Backend wird auf Ziel-IP umgestellt
SMTP 10.222.40.25:25 smtp.ad.lanstyle.de:25 / 10.222.40.25
Workflow-URLs keine konkreten URL-Hits im DB-Scan bei neuen Workflows nachziehen, API liefert keine Secrets

Paperless-AI

Dienst Aktuell Ports Erkannte Abhaengigkeiten Umstellung
paperless-ai-bis2024 10.0.0.238 3000/8000 PAPERLESS_API_URL leer; Startup meldet fehlende Paperless-API-Konfiguration; AI Provider openai, Modell gpt-4o-mini vor Migration entweder fertig konfigurieren oder aus Zielgruppe herausnehmen
paperless-ai-lanstyle 10.0.0.239 3000/8000 PAPERLESS_API_URL=http://10.0.0.236:8000/api; AI Provider openai, Modell gpt-4o-mini; RAG lokal localhost:8000 auf Paperless Lanstyle Ziel-FQDN/Ziel-IP umstellen
paperless-ai-epxm 10.0.0.234 3000/8000 PAPERLESS_API_URL=http://10.0.0.237:8000/api; AI Provider openai, Modell gpt-4o-mini; RAG lokal localhost:8000 auf Paperless EPXM Ziel-FQDN/Ziel-IP umstellen

Migrationsregel: Paperless-AI wird paarweise mit der zugehoerigen Paperless-Instanz migriert. Die externen OpenAI/API-Ziele laufen ueber HTTPS ins Internet; Secret-Werte bleiben ausschliesslich in der jeweiligen App-Konfiguration/Vaultwarden.

AI Suite

Quelle Ziel Port Bedeutung Umstellung
NPM Open WebUI 10.0.0.250 8080 ai.lanstyle.de Backend auf openwebui.ad.lanstyle.de
Open WebUI GB10/Ollama gb10-01.ad.lanstyle.de 11434 Modell-Backend DNS beibehalten oder auf Ziel-FQDN mappen
Open WebUI Ollama Alias 10.0.0.249 11434 zweites Ollama/RAG-Ziel auf ollama.ad.lanstyle.de ersetzen
Open WebUI SearXNG 10.0.1.240 8888 Websuche/RAG auf searxng.ad.lanstyle.de ersetzen
Open WebUI Agent Runtime 10.0.1.243 3010 OpenAPI/Tooling Ziel-IP fuer Agent Runtime planen
Open WebUI Open Terminal 10.0.1.253 8001-8004 Terminal/API-Tools Ziel-IP fuer Open Terminal planen
Open WebUI LiteLLM litellm.lanstyle.de 443/4000 OpenAI-kompatible API NPM/Agent Runtime Backend beachten
Agent Runtime lokale Docker-Services 3000, 3010, 4000, 6333, 6334 MCP Hub, OpenAPI, LiteLLM, Qdrant als gekoppelte AI-Gruppe behandeln

Zielentscheidung 2026-05-25: AI erhaelt ein eigenes VLAN 70 AI-Services (10.222.70.0/24). Ziel-IPs: Open WebUI 10.222.70.10, Ollama/GB10 10.222.70.11, SearXNG 10.222.70.12, Open Terminal 10.222.70.13, Agent Runtime/LiteLLM/MCPHub 10.222.70.20, UP AI Port 10.222.70.21. Migration nur als gekoppelte Gruppe mit DNS-first, NPM-Backend-Mapping und App-Level-Tests.

Nachmeldung 2026-05-25: Die AI-Suite wurde laut Rueckmeldung durch einen separaten Agenten migriert. Lokale read-only Verifikation auf Proxmox zeigt aktuell:

System Befund
Open WebUI 250 Proxmox-Konfig zeigt weiter nur 10.0.0.250/20; https://ai.lanstyle.de/ antwortet HTTP 200
Open Terminal 255 zusaetzliches Interface 10.222.70.13/24, VLAN 70
SearXNG 256 zusaetzliches Interface 10.222.70.12/24, VLAN 70
Agent Runtime 259 zusaetzliches Interface 10.222.70.20/24, VLAN 70
Ollama public https://ollama.lanstyle.de/ antwortet HTTP 200

Damit ist AI als Fremdagent-Arbeit nicht mehr der naechste Migrationsblock. Vor dem finalen Abhaken muss aber der Abschlussbericht des anderen Agents gegen Proxmox, NPM und UDM DNS abgeglichen werden, besonders fuer Open WebUI und Ollama/GB10.

ARR-/Medien-Stack

Dienst Aktuell Port Direkte Abhaengigkeiten
SABnzbd 10.0.0.34 7777 SMTP 10.0.0.3, NFS 10.0.0.30:/volume1/DLs, NFS 10.0.0.9:/var/nfs/shared/Filme, Serien
Radarr 10.0.0.36 7878 SABnzbd 10.0.0.34, Prowlarr 10.0.0.39, RemotePath /mnt/DLs/complete, NFS 10.0.0.30, 10.0.0.9
Sonarr 10.0.0.38 8989 SABnzbd/Prowlarr erwartet, NFS 10.0.0.30, 10.0.0.9:/var/nfs/shared/Serien
Readarr 10.0.0.31 8787 Download-/Indexer-Ziele pruefen, NFS 10.0.0.30, 10.0.0.9:/var/nfs/shared/Hoerbuecher
Prowlarr 10.0.0.39 9696 Apps 10.0.0.31:8787, 10.0.0.36:7878, 10.0.0.38:8989, eigener App-Link 10.0.0.39:9696
Overseerr 10.0.0.37 5055 Plex 10.0.0.30:32400, Tautulli 10.0.0.181:8181, Radarr 10.0.0.36:7878, Sonarr 10.0.0.38:8989, SMTP 10.0.0.3
Profilarr 10.0.0.130 6868 DB arr_config: Radarr http://10.0.0.36:7878, Sonarr http://10.0.0.38:8989
Huntarr 10.0.0.131 9705 keine URL-Hits im sicheren DB-Scan; App ist aktiv und wird als ARR-Helfer mitmigriert
Audiobookshelf 10.0.0.132 13378 NFS 10.0.0.30, 10.0.0.9:/var/nfs/shared/Hoerbuecher
Cleanuparr 10.0.0.180 11011 DB arr_instances: Radarr http://10.0.0.36:7878/, Sonarr http://10.0.0.38:8989/
Tautulli 10.0.0.181 8181 Plex, NFS 10.0.0.9:/var/nfs/shared/Serien
Plex 10.0.0.190 32400 NFS 10.0.0.9:/var/nfs/shared/Filme, Serien, NPM, Clients/Discovery

Migrationsregel: Medien/ARR nicht einzeln ohne Storage- und Inter-App-URL-Plan migrieren. Mindestens Prowlarr, Radarr, Sonarr, Readarr, SABnzbd, Overseerr, Tautulli, Plex und NAS/UNAS-Freigaben muessen als Gruppe konsistent sein.

SmartHome-Klaerungen

Punkt Status
ha-stein.epxm.de am 2026-05-25 nach Freigabe in NPM von 10.0.2.39:8123 auf 10.0.10.128:8123 korrigiert und per HTTPS getestet
LaMetric an SolarManager gekoppelt, nicht als eigenstaendige HA-Integration gefunden
Meross eigenstaendige Geraete, nur HomeKit und Meross-App; keine direkte HA-Integration
Zehnder Comfo Connect 10.0.0.57, Gebaeudetechnik/Lueftung, in VLAN 170 einplanen
FOG/Testsysteme ignorieren, nicht migrationsrelevant

Radius

Dienst Aktuell Ziel Ports/Funktion
sgo-radius / radius.lanstyle.de 10.0.0.251 10.222.40.36, radius.ad.lanstyle.de FreeRADIUS UDP 1812/1813, local auth 18120, RadSec Proxy TCP 2083, Nginx UI TCP 80, MariaDB TCP 3306 lokal auf 10.0.0.251

Radius ist Linux-basiert, nicht Windows NPS. Bei VLAN-Trennung muessen UniFi/Switch/AP-Quellen gezielt zu Radius UDP 1812/1813 und ggf. RadSec TCP 2083 duerfen. MariaDB bleibt lokal auf dem Radius-System und sollte nicht pauschal aus anderen VLANs erreichbar sein.

Radius/RadSec Zertifikatsbetrieb 2026-06-07/2026-06-08

Der Radius-Dienst laeuft als Proxmox-VM 601 sgo-radius auf 10.222.40.36/24 im VLAN 40. Der produktive interne FQDN ist radius.ad.lanstyle.de; fuer BYOD/Schuelergeraete wird im PEAP/EAP-Serverzertifikat der oeffentlich vertraute Name radius.lanstyle.de verwendet.

Komponente Stand
FreeRADIUS EAP nutzt Let's-Encrypt-Zertifikat radius.lanstyle.de in /etc/freeradius/3.0/certs/le_fullchain.pem und /etc/freeradius/3.0/certs/le_privkey.pem
radsecproxy Serverzertifikat nutzt dasselbe Zertifikat in /etc/radsecproxy/certs/le/fullchain.pem und /etc/radsecproxy/certs/le/privkey.pem
RadSec Clientzertifikate Aruba-Standorte SGO/SMS/SGJ bleiben clientseitig auf Lanstyle-interner CA; kein Upload des LE-Zertifikats auf den Aruba-Controllern erforderlich
Zertifikatsquelle LXC 112 certmgr, DNS-01 via IPv64/lego
Automatisierung certmgr-renew.timer startet certmgr-renew.service; darin laufen certmgr-renew.sh production fuer ad.lanstyle.de/*.ad.lanstyle.de und certmgr-renew-radius.sh production fuer radius.lanstyle.de
Deploy-Pfad Radius /opt/certmgr/deploy-radius.sh kopiert ueber SSH zu Proxmox 10.0.0.220 und QEMU Guest Agent in VM 601; danach freeradius -C, Restart radsecproxy, Restart freeradius
Deaktiviert alter lokaler acme.sh-Cron auf der Radius-VM, damit keine parallele Zertifikatszuständigkeit entsteht

Backups der Umstellung:

  • Certmgr: /root/certmgr-radius-deploy-backup-20260607-204423
  • Radius vor Deploy: /root/radius-certmgr-predeploy-backup-20260607-224424
  • Radius lokaler ACME-Cron: /root/radius-disable-local-acme-backup-20260607-225523

Verifikation am 2026-06-07:

  • radius.lanstyle.de Zertifikat: Let's Encrypt, SAN DNS:radius.lanstyle.de, gueltig bis 2026-09-05.
  • FreeRADIUS und radsecproxy: active.
  • Key/Cert-Match per Public-Key-Hash bestaetigt.
  • Nach Umstellung keine neuen unknown CA, More than 50 roundtrips oder No EAP session Fehler im kurzen Nachbeobachtungsfenster.

Aruba Accounting, RadiusDesk Policy und VLAN999 Portal 2026-06-11

Standort Controller Enterprise-SSID RadSec-Ziel Accounting Interim-Accounting
SGO 192.168.30.32 SGO radius.lanstyle.de aktiv 5 Minuten
SMS 10.64.2.65 SMS radius.lanstyle.de aktiv 5 Minuten
SGJ 10.128.16.204 SGJ radius.lanstyle.de aktiv 5 Minuten

RadSec-Clientquellen:

  • SGO: DynDNS sgo.fortidyndns.com, aktuell 176.52.192.249, radsecproxy Clientname sgo.
  • SMS: DynDNS sms.dyndns64.de, aktuell 80.153.196.109, radsecproxy Clientname sms.
  • SGJ: extern 82.119.173.50, radsecproxy Clientname sgj.

DynDNS-/Reconnect-Betrieb:

  • radsecproxy loest FQDNs laut lokaler Manpage nur beim Start auf und uebernimmt spaetere DNS-Aenderungen nicht automatisch.
  • Auf VM 601 laeuft deshalb radsecproxy-dyndns-watch.timer; er prueft SMS/SGO alle 5 Minuten und startet radsecproxy nur bei tatsaechlicher IP-Aenderung neu.
  • State-Datei: /var/lib/radsecproxy/dyndns-client-ips.state.
  • Backup/Einrichtung: /root/radsecproxy-dyndns-hosts-cleanup-20260608-150636/hosts und /root/radsecproxy-dyndns-watch-backup-*.
  • tlsserverrd: timeout ... no requests, closing connection ist erwartbares Aruba-/RadSec-Idle-Verhalten. TCPKeepalive on verhindert tote TCP-Sessions, ersetzt aber kein echtes RADIUS-Status-/Keepalive-Paket.
  • StatusServer ist in radsecproxy fuer ausgehende Server-Bloecke relevant, nicht fuer eingehende Aruba-Clients.

RadiusDesk-Zielstand:

  • Alle vorhandenen permanent_users haben Rd-Mac-Check := 1; die Client-MAC muss als Device/MAC in RadiusDesk eingetragen sein.
  • Session-Limits blockieren nicht mehr; die Geraetebegrenzung erfolgt ueber registrierte MACs/Geraete.
  • EAP/PEAP und TTLS kopieren die aeussere Calling-Station-Id in den inner-tunnel.
  • Der inner-tunnel normalisiert Calling-Station-Id vor RADIUSdesk_main auf das Bindestrichformat, damit Aruba-Varianten wie aabbccddeeff, aa:bb:cc:dd:ee:ff und aa-bb-cc-dd-ee-ff gegen RadiusDesk-Devices passen.
  • MAC-Pflicht gilt auch fuer Lehrer.
  • Offene Alt-/Stale-Sessions in radacct sind weiterhin Monitoring-/Cleanup-Thema, duerfen aber den Zugang nicht mehr durch ein Session-Limit blockieren.
  • FreeRADIUS-Auth-Logging ist aktiv (auth = yes), Passwortlogging bleibt deaktiviert (auth_badpass = no, auth_goodpass = no). Damit landen Login OK, Login incorrect und Invalid user ueber den FreeRADIUS-Dateimirror in Graylog, ohne Passwoerter zu protokollieren.

VLAN999-/Portal-Zielstand:

  • Portal-LXC 128 wlan-onboarding, IP 10.222.40.52, URL https://wlan-onboarding.lanstyle.de.
  • SGO/SMS: kein M365-Onboarding; unbekannte/private MAC landet mit korrektem Passwort in VLAN 999 und sieht nur die Hinweisseite.
  • SGJ: M365-Self-Service mit RadiusDesk-Sync und CoA/Disconnect fuer automatische Reauth.
  • SGO VLAN999: 192.168.255.0/24, Gateway 192.168.255.1, Portal/DNS/DHCP allow, danach local/routed block.
  • SMS VLAN999: 10.64.255.0/24, Gateway 10.64.255.1, Portal/DNS/DHCP allow, danach interne/externe Ziele blockiert.
  • Portal-Ports aus VLAN999: TCP 80, 443, 8088 zu 10.222.40.52.

RadiusDesk Accounting-Fix:

  • Am 2026-06-08 wurde ein Accounting-Folgefehler behoben: FreeRADIUS meldete bei Accounting-Stop/Update rlm_sql_mysql: ERROR 1136 (Column count doesn't match value count at row 1).
  • Ursache war der RadiusDesk-Trigger auf radacct, der per INSERT INTO radacct_history SELECT * FROM radacct kopiert. radacct hatte 34 Spalten, radacct_history nur 30.
  • radacct_history wurde um framedipv6address, framedipv6prefix, framedinterfaceid und delegatedipv6prefix ergaenzt.
  • Trigger-Test mit Stop-Update erfolgreich; radpostauth und radacct schreiben wieder.
  • Backup: /root/radiusdesk-radacct-history-schema-fix-20260608-150939.

Windows-/BYOD-PEAP-Hinweis:

  • Ohne vorab verteiltes WLAN-Profil koennen Clients beim ersten PEAP-Verbindungsaufbau eine Vertrauensabfrage zeigen.
  • Erwartet ist Ausgestellt fuer: radius.lanstyle.de, aktuell Ausgestellt von: YR2.
  • Das ist kein Fehler, solange Name und oeffentliche Let's-Encrypt-Kette passen.

Backups/Readbacks:

  • /Users/vinc32/Documents/Syslog/backups/aruba-sgo-accounting-20260607_234729
  • /Users/vinc32/Documents/Syslog/backups/aruba-sgo-live-verify-20260608_000002
  • /Users/vinc32/Documents/Syslog/backups/aruba-remote-timing-20260607_235931
  • /Users/vinc32/Documents/Syslog/backups/radiusdesk-enforce-mac-limit-20260608_001055
  • /Users/vinc32/Documents/Syslog/backups/radiusdesk-inner-tunnel-mac-normalize-20260608_003256
  • Server-Backup: /root/radiusdesk-enforce-mac-limit-backup-20260608-001056
  • Server-Backup inner-tunnel: /root/radiusdesk-inner-tunnel-mac-normalize-backup-20260608-003257
  • RadiusDesk radacct_history Schema-Fix: /root/radiusdesk-radacct-history-schema-fix-20260608-150939

HA-Stein Backend-Korrektur

HAxStein ist per Guest-Agent und TCP-Test auf 10.0.10.128:8123 erreichbar. Das vorherige NPM-Backend ha-stein.epxm.de -> 10.0.2.39:8123 war nicht erreichbar und lieferte ueber den Proxy 502. Auf der HA-VM existieren noch Prozesse mit Bindings/Discovery-Bezug zu 10.0.2.39, die primaere Interface-IP ist aber 10.0.10.128/20.

Korrektur durchgefuehrt am 2026-05-25 nach expliziter Freigabe: NPM Host ha-stein.epxm.de ID 23 wurde auf 10.0.10.128:8123 umgestellt. Vorher wurden /data/database.sqlite und /data/nginx/proxy_host/23.conf im NPM-LXC gesichert; Rollback ist Ruecksetzen auf 10.0.2.39:8123 aus diesen Backups oder erneute NPM-Anpassung.