03 Dienstematrix¶
Stand: 2026-05-25
Diese Matrix fasst die bisher erkannten Kommunikationsbeziehungen zusammen. Sie ist noch keine finale Firewall-Freigabeliste; vor produktiver Migration werden pro Dienst die tatsaechlichen Ports, DNS-Namen und Auth-Abhaengigkeiten nochmals verifiziert.
Kritische Dienste¶
| Dienst | Aktueller Host/IP | Ziel-VLAN | Ziel-IP | Abhaengigkeiten | Risiko |
|---|---|---|---|---|---|
| Nginx Proxy Manager | 10.0.0.5 |
50 | 10.222.50.10 |
Backends laut NPM, DNS, Zertifikate | hoch |
| Open WebUI | 10.0.0.250 |
70 | 10.222.70.10 |
Ollama/GB10, SearXNG, Agent Runtime, externe TTS/OpenAI-kompatible APIs | hoch |
| Ollama/GB10 | 10.0.14.43, 10.0.0.249 |
70 | 10.222.70.11 geplant |
Open WebUI, NPM, RAG Embeddings | hoch |
| SearXNG | 10.0.1.240 |
70 | 10.222.70.12 geplant |
Open WebUI RAG/Websuche | mittel |
| Open Terminal | 10.0.1.253 |
70 | 10.222.70.13 geplant |
Open WebUI/API-Zugriff | mittel |
| n8n | 10.0.1.241 |
40 | 10.222.40.35 |
interne APIs, Webhooks, SMTP, DNS | hoch |
| Gitea | 10.0.1.251 |
40 | 10.222.40.31 |
SSH/HTTPS, Wiki/Deploy, OpenCode | hoch |
| Wiki/MkDocs | 10.0.0.252 |
40 | 10.222.40.32 |
Gitea Pull, NPM, systemd Deploy | mittel |
| Vaultwarden | 10.0.1.242 |
40 | 10.222.40.33 |
NPM, SMTP, Clients | hoch |
| NetBox | 10.0.0.207 |
40 | 10.222.40.34 |
NPM, Postgres lokal, API-Clients | hoch |
| SMTP Relay | 10.0.0.3 |
40 | 10.222.40.25 |
alle internen Dienste, Upstream Mail | hoch |
| Radius/RadSec | VM 601 sgo-radius, aktuell 10.222.40.36 |
40 | 10.222.40.36 |
FreeRADIUS, radsecproxy, Aruba RadSec-Clients SGO/SMS/SGJ, Certmgr LXC 112 |
hoch |
| Certmgr | LXC 112 certmgr, 10.222.40.51 |
40 | 10.222.40.51 |
IPv64 DNS-01, Let's Encrypt, Deploy auf Radius ueber Proxmox Guest Agent | hoch |
| LANDC1/LANDC2 | 10.0.0.201/202 |
40 | 10.222.40.10/11 |
DNS, Kerberos, LDAP, SMB, Global Catalog; DHCP nicht auf DCs erkannt | sehr hoch |
Ziel-DNS-Namen Fuer Interne Abhaengigkeiten¶
| Dienst | Interner Zielname | Ziel-IP | Verwendung |
|---|---|---|---|
| LANDC1 | landc1.ad.lanstyle.de |
10.222.40.10 |
DNS, Kerberos, LDAP, SMB |
| LANDC2 | landc2.ad.lanstyle.de |
10.222.40.11 |
DNS, Kerberos, LDAP, SMB |
| SMTP Relay | smtp.ad.lanstyle.de |
10.222.40.25 |
Mailversand interner Dienste |
| Gitea | gitea.ad.lanstyle.de |
10.222.40.31 |
interne Git-/Deploy-Ziele |
| Wiki | wiki.ad.lanstyle.de |
10.222.40.32 |
internes Wiki-Backend |
| Vaultwarden | vaultwarden.ad.lanstyle.de |
10.222.40.33 |
internes Vault-Backend |
| NetBox | netbox.ad.lanstyle.de |
10.222.40.34 |
API/Automatisierung |
| n8n | n8n.ad.lanstyle.de |
10.222.40.35 |
interne Automatisierung/Webhooks |
| Radius | radius.ad.lanstyle.de |
10.222.40.36 |
Administration, interner Zielname fuer Radius/RadSec |
| Certmgr | certmgr.ad.lanstyle.de |
10.222.40.51 |
ACME/Let's-Encrypt-Zertifikatsmanagement |
| Open WebUI | openwebui.ad.lanstyle.de |
10.222.70.10 |
AI Frontend Backend |
| Ollama/GB10 | ollama.ad.lanstyle.de |
10.222.70.11 |
LLM API fuer Open WebUI/n8n |
| SearXNG | searxng.ad.lanstyle.de |
10.222.70.12 |
RAG/Websuche |
| Open Terminal | openterminal.ad.lanstyle.de |
10.222.70.13 |
AI-/Admin-Webzugriff |
| Agent Runtime | agent-runtime.ad.lanstyle.de |
10.222.70.20 |
LiteLLM, MCPHub, Tools API |
| Proxmox | pve.ad.lanstyle.de |
10.222.20.10 |
API/UI/Monitoring |
| Synology | nas-linden.ad.lanstyle.de |
10.222.30.10 |
NFS/SMB |
| UNAS Pro | unas-linden.ad.lanstyle.de |
10.222.30.11 |
NFS/SMB |
Erkannte Reverse-Proxy-Beziehungen¶
NPM leitet unter anderem auf folgende Backends:
| Frontend | Backend | Port |
|---|---|---|
ai.lanstyle.de |
10.0.0.250 |
8080 |
ollama.lanstyle.de |
10.0.0.249 |
11434 |
git.lanstyle.de |
10.0.1.251 |
3000 |
wiki.lanstyle.de |
10.0.0.252 |
80 |
vault.lanstyle.de |
10.0.1.242 |
8000 |
netbox.lanstyle.de |
10.0.0.207 |
443 |
grafana.epxm.de |
10.222.60.12 |
3000 |
wazuh.lanstyle.de |
10.222.60.10 |
443 |
plex.epxm.de |
10.0.0.190 |
32400 |
paperless-old.lanstyle.de |
10.0.0.235 |
8000 |
paperless.lanstyle.de |
10.0.0.236 |
8000 |
paperless.epxm.de |
10.0.0.237 |
8000 |
ha.epxm.de |
10.0.0.230 |
8123 |
hkknx.epxm.de |
10.0.0.231 |
8080 |
Weitere im NPM-Export erkannte aktive Backends:
- convert.epxm.de -> 10.0.0.133:3000
- files.lanstyle.de -> 10.0.0.35:3000
- filme.epxm.de -> 10.0.0.37:5055
- hotel.wifi.lanstyle.de / wifi.lanstyle.de -> 10.0.10.112:3001/3000
- mailstore.lanstyle.de -> 10.0.0.204:8462
- netdata.s.lanstyle.de -> 10.0.0.220:19999
- odoo.lanstyle.de -> 10.0.0.209:8069
- pve.lanstyle.de -> 10.0.0.220:8006
- radius.lanstyle.de -> 10.0.0.251:80
- tools.lanstyle.de -> 10.0.0.208:80
Ein deaktivierter Proxy Host wurde erkannt und bleibt fuer die Migration nachrangig: snipeit.epxm.de -> 10.0.0.184:80.
AI-Suite¶
| Quelle | Ziel | Port | Zweck | Befund |
|---|---|---|---|---|
| Open WebUI | GB10/Ollama gb10-01.ad.lanstyle.de / 10.0.14.43 |
11434 | LLM API | HTTP 200 auf /api/tags |
| Open WebUI | Ollama Alias 10.0.0.249 |
11434 | LLM API/RAG | HTTP 200 auf /api/tags |
| NPM | Open WebUI 10.0.0.250 |
8080 | ai.lanstyle.de |
aktiv |
| NPM | Ollama 10.0.0.249 |
11434 | ollama.lanstyle.de |
aktiv |
| Open WebUI | SearXNG 10.0.1.240 |
8888 | Websuche/RAG | Konfiguration erkannt |
| Open WebUI | externer TTS/API-Anbieter | 443 | TTS/OpenAI-kompatible APIs | Secrets redacted, vor Migration pruefen |
Noch Zu Pruefen¶
- n8n Workflow
Lanstyle URL Healthcheckfachlich exportieren und Ziel-Hosts/URLs ohne Secrets dokumentieren. - GPOs und AD-Objektstruktur bei Bedarf per PowerShell inventarisieren.
- NetBox API nach Vaultwarden-Unlock gegen Realitaet abgleichen.
- NPM-Backends nach Ziel-IP-Vergabe aktualisieren und pro Host testen.
- Paperless-AI-Container auf interne OCR/LLM-Abhaengigkeiten pruefen.
- Medien-Stack Sonarr/Radarr/Prowlarr/SAB/Plex Ports und Mounts gegen Storage/NAS pruefen.
Radius/RadSec Zertifikats- und Betriebsabhängigkeiten¶
Stand 2026-06-11:
| Quelle | Ziel | Port/Protokoll | Zweck |
|---|---|---|---|
| Aruba RadSec-Clients SGO/SMS/SGJ | radius.lanstyle.de / 80.155.133.58 NAT zu 10.222.40.36 |
TCP 2083 |
RadSec TLS zu radsecproxy |
radsecproxy auf VM 601 |
FreeRADIUS lokal | UDP 127.0.0.1:1812 |
Auth-Requests aus RadSec |
FreeRADIUS auf VM 601 |
MariaDB lokal | TCP 127.0.0.1:3306 |
Benutzer-/Policy-Datenbank |
LXC 112 certmgr |
Let's Encrypt / IPv64 | HTTPS/DNS-01 | Zertifikatserneuerung fuer ad.lanstyle.de, *.ad.lanstyle.de, radius.lanstyle.de |
LXC 112 certmgr |
Proxmox 10.0.0.220 |
SSH 22 |
Deploy-Sprungbrett zu Radius-VM via QEMU Guest Agent |
Proxmox 10.0.0.220 |
VM 601 sgo-radius |
QEMU Guest Agent | Zertifikat kopieren, freeradius -C, Service-Restarts |
LXC 128 wlan-onboarding 10.222.40.52 |
SGO/SMS/SGJ VLAN999 | HTTP/HTTPS TCP 80/443/8088 |
Hinweisportal und SGJ M365-Onboarding |
LXC 128 wlan-onboarding 10.222.40.52 |
SGJ Aruba-Netz 10.128.16.0/24 |
UDP 3799 |
CoA/Disconnect fuer automatische Reauth |
BYOD/Schuelergeraete koennen keine interne Lanstyle-Root-CA erhalten. Deshalb muss FreeRADIUS EAP ein oeffentlich vertrautes Zertifikat fuer radius.lanstyle.de ausliefern. Die RadSec-Clientzertifikate der Aruba-Controller bleiben davon getrennt und werden weiterhin mit der internen Lanstyle-CA validiert.
Aruba-/RadiusDesk Betriebsstand 2026-06-11¶
| Standort | Controller | Enterprise-SSID | RadSec-Client | Accounting |
|---|---|---|---|---|
| SGO | 192.168.30.32 |
SGO |
sgo.fortidyndns.com, aktuell 176.52.192.249 / sgo |
aktiv, Interim 5 Minuten |
| SMS | 10.64.2.65 |
SMS |
sms.dyndns64.de, aktuell 80.153.196.109 / sms |
aktiv, Interim 5 Minuten |
| SGJ | 10.128.16.204 |
SGJ |
82.119.173.50 / sgj |
aktiv, Interim 5 Minuten |
RadiusDesk erzwingt Passwort plus registrierte MAC-Adresse fuer SGO/SMS. Session-Limits blockieren nicht mehr; die Geraetebegrenzung erfolgt ueber registrierte MACs/Geraete. Der FreeRADIUS inner-tunnel normalisiert Calling-Station-Id auf das RadiusDesk-Deviceformat mit Bindestrichen.
VLAN999-Portal:
- SGO: unbekannte/private MAC bei korrektem Passwort landet in VLAN
999/192.168.255.0/24, Aruba-RolleSGO-MAC-Hinweis, Portalhttps://wlan-onboarding.lanstyle.de/?site=sgo. - SMS: unbekannte/private MAC bei korrektem Passwort landet in VLAN
999/10.64.255.0/24, Aruba-RolleSMS-MAC-Hinweis, Portalhttps://wlan-onboarding.lanstyle.de/?site=sms. - SGJ: M365-Self-Service, RadiusDesk-Sync und CoA/Disconnect statt SGO/SMS-Hinweis-only.
radsecproxy-dyndns-watch.timer prueft SMS/SGO alle 5 Minuten und startet radsecproxy nur bei tatsaechlicher DynDNS-IP-Aenderung neu. Das erwartbare Aruba-/RadSec-Idle-Verhalten (tlsserverrd ... no requests) wird vor Graylog gefiltert; echte Fehler/Warnungen bleiben sichtbar. FreeRADIUS-Auth-Logging ist aktiv, Passwortlogging bleibt deaktiviert. Der RadiusDesk-Accounting-Fix fuer radacct_history ist umgesetzt, damit Stop-/Update-Accounting wieder sauber schreibt.
Verweise Auf Erweiterte Inventare¶
- VM/LXC-Service-Inventar enthaelt die aktuelle read-only Zuordnung aller Proxmox-Guests, Ports, Dienste und offenen Zuordnungsluecken.
- SmartHome/Home Assistant Inventar enthaelt Home-Assistant-Integrationen, SmartHome-Geraetegruppen, UniFi-Protect-/Hue-/KNX-/Solar-/Wallbox-/Tibber-/Daikin-/Meross-Hinweise und offene Punkte.
- App-Level-Abhaengigkeiten enthaelt die finalisierte read-only Sicht auf NPM, n8n, AI Suite und ARR-/Medien-Flows.
Service-Dependency-Refresh 2026-05-25¶
Exportablage: .backups/service_dependency_discovery_20260525_092323
n8n¶
| Dienst | Aktuelle IP | Listening Ports | Bekannte Abhaengigkeiten | Ziel-Freigaben |
|---|---|---|---|---|
| n8n | 10.0.1.241 |
TCP 5678, lokal 5679, SSH 22 |
Webhooks, interne HTTP(S)-APIs, SMTP, ggf. Redis/Queue lokal | NPM/Clients zu 5678; n8n zu SMTP Relay, DNS und expliziten API-Zielen |
API-Status 2026-05-25:
- API-Key fuer User AI Infra ist in Vaultwarden abgelegt: Secret liegt in Vaultwarden: Lanstyle / n8n API Token AI Infra.
- Public API ist direkt ueber http://10.0.1.241:5678 und ueber https://n8n.lanstyle.de erreichbar.
- API-Antworten im ersten Lauf: credentials=0, tags=0, users=1; projects und variables liefern 403.
- Lokale SQLite-Pruefung im Container bestaetigte im ersten Lauf workflow_entity=0, credentials_entity=0, webhook_entity=0, variables=0, user=1, project=1.
Nach Anlage des Workflows wurde die API erneut gelesen:
| Workflow | Aktiv | API-ID | Erkennbares Risiko |
|---|---|---|---|
Lanstyle URL Healthcheck |
ja | dokumentiert im lokalen Export, nicht in Git | niedrig bis mittel |
Der Workflow ist sichtbar, die API liefert aber keine Secret-Werte. Fuer die Firewall-Planung ist mindestens ausgehend HTTPS/HTTP von n8n zu den zu pruefenden Ziel-URLs, DNS zu den DCs und SMTP zum Relay einzuplanen. Vor produktiver VLAN-Trennung muss der Workflow-Inhalt ohne Credential-Werte exportiert oder ueber die n8n-Oberflaeche fachlich bestaetigt werden.
Monitoring Phase-3-Refresh¶
Read-only-Export 2026-05-25: .backups/implementation_readonly_20260525_145250
| Dienst | Aktuell | Ziel | Erkannte Verbindungen | Muss Geaendert Werden |
|---|---|---|---|---|
| Grafana | alt 10.0.0.136:3000, aktuell 10.222.60.12:3000 |
10.222.60.12:3000 |
NPM grafana.epxm.de, UDM DNS grafana.ad.lanstyle.de, SMTP smtp.ad.lanstyle.de:25 |
NPM, UDM DNS, NetBox und SMTP-DNS-first erledigt |
| Prometheus | alt 10.0.0.137:9090, aktuell 10.222.60.13:9090 |
10.222.60.13:9090 |
Scrape 10.0.0.200:9130, Proxmox 10.0.0.220, PVE Exporter 10.222.60.14:9221, UDM DNS prometheus.ad.lanstyle.de |
migriert; Legacy-Ziele bleiben bis Docker-Lanstyle/Proxmox-Migration |
| PVE Exporter | alt 10.0.0.138:9221, aktuell 10.222.60.14:9221 |
10.222.60.14:9221 |
wird von Prometheus gescraped, UDM DNS pve-exporter.ad.lanstyle.de |
migriert |
| Zabbix | alt 10.0.0.135:80/10051, aktuell 10.222.60.11:80/10051 |
10.222.60.11 |
UDM DNS zabbix.ad.lanstyle.de, SMTP smtp.ad.lanstyle.de:25, API-Version 7.4.0, API-Export 3 Hosts/3 aktiv |
migriert; API-Token liegt in Vaultwarden |
| Wazuh | alt 10.0.0.7:443/1514/1515/55000, aktuell 10.222.60.10:443/1514/1515/55000 |
10.222.60.10 |
NPM wazuh.lanstyle.de, UDM DNS wazuh.ad.lanstyle.de, Syslog 514/udp, API-User ai-infra, Agents: Manager aktiv, MacBook getrennt |
migriert; Syslog-Quellen fachlich pruefen |
| Proxmox Datacenter Manager | alt 10.0.0.240:8443, aktuell 10.222.20.20:8443 |
10.222.20.20 |
lokale Alt-IP-Anzeigen korrigiert, UDM DNS proxmox-datacenter-manager.ad.lanstyle.de, keine NPM-Abhaengigkeit erkannt |
migriert; NetBox und DNS erledigt |
IP-Umstellungsbefund¶
Die gesonderte IP-Umstellungs-Checkliste ist verbindlich fuer die naechsten Migrationsschritte. Besonders kritisch sind harte Alt-IP-Verweise in NPM, Open WebUI/Ollama/SearXNG, n8n, Paperless-AI, Medien-Stack und NFS/Storage. Diese muessen vor oder waehrend der jeweiligen Einzelmigration auf DNS/Ziel-IP umgestellt werden.
Paperless und Paperless-AI¶
| Dienst | Aktuelle IP | Listening Ports | Erkannte lokale Komponenten | Ziel-VLAN |
|---|---|---|---|---|
| paperless-bis2024 | 10.0.0.235 |
TCP 80, 8000, 22; lokal 5432, 6379, 25 |
Postgres lokal, Redis lokal, Apache, Granian/Paperless | 40 |
| paperless-lanstyle | 10.0.0.236 |
TCP 80, 8000, 22; lokal 5432, 6379, 25 |
Postgres lokal, Redis lokal, Apache, Granian/Paperless | 40 |
| paperless-epxm | 10.0.0.237 |
TCP 80, 8000, 22; lokal 5432, 6379, 25 |
Postgres lokal, Redis lokal, Apache, Granian/Paperless | 40 |
| paperless-ai-bis2024 | 10.0.0.238 |
TCP 8000, 3000, 22; lokal 25 |
Python API, Node UI/API | 40 |
| paperless-ai-lanstyle | 10.0.0.239 |
TCP 8000, 3000, 22; lokal 25 |
Python API, Node UI/API | 40 |
| paperless-ai-epxm | 10.0.0.234 |
TCP 8000, 3000, 22; lokal 25 |
Python API, Node UI/API | 40 |
Ziel-Freigaben: NPM zu Paperless-Webports, Paperless/Paperless-AI zu DNS/SMTP; Paperless-AI zusaetzlich zu den jeweiligen Paperless-Instanzen und zu externen OpenAI/API-Zielen per HTTPS. Stand 2026-05-25: paperless-ai-lanstyle nutzt 10.0.0.236:8000/api, paperless-ai-epxm nutzt 10.0.0.237:8000/api, paperless-ai-bis2024 hat keine Paperless-API-URL und meldet fehlende Konfiguration.
Medien-Stack¶
| Dienst | IP | Port | Spricht mit |
|---|---|---|---|
| SABnzbd | 10.0.0.34 |
7777 | Usenet/Internet, Radarr/Sonarr |
| Radarr | 10.0.0.36 |
7878 | Prowlarr, SABnzbd, Profilarr, Huntarr |
| Overseerr | 10.0.0.37 |
5055 | Plex, Radarr, Sonarr |
| Sonarr | 10.0.0.38 |
8989 | Prowlarr, SABnzbd, Profilarr, Huntarr |
| Readarr | 10.0.0.31 |
8787 | Prowlarr, Download-Clients, Huntarr |
| Prowlarr | 10.0.0.39 |
9696 | Radarr, Sonarr, Readarr |
| UmlautAdaptarr | 10.0.0.32 |
5005/5006 | Radarr/Sonarr/Readarr |
| Profilarr | 10.0.0.130 |
6868 | Radarr 10.0.0.36:7878, Sonarr 10.0.0.38:8989 |
| Huntarr | 10.0.0.131 |
9705 | Radarr, Sonarr, Readarr |
| Audiobookshelf | 10.0.0.132 |
13378 | Clients/NPM, Storage |
| Cleanuparr | 10.0.0.180 |
11011 | Medien-Apps |
| Tautulli | 10.0.0.181 |
8181 | Plex 10.0.0.190:32400, NAS/Plex Altziel 10.0.0.30:32400 |
| Plex | 10.0.0.190 |
32400 | Clients, NPM, Storage/NFS/RPC |
Der Medien-Stack sollte entweder gemeinsam in VLAN 150 bleiben oder mit einer expliziten Ost-West-Regelgruppe migriert werden. Besonders Plex/SAB/Radarr/Sonarr/Readarr benoetigen Storage-/Download-Pfade; vor Migration Mounts und NFS/SMB-Ziele final pruefen. Stand 2026-05-25: Profilarr verweist auf Radarr 10.0.0.36:7878 und Sonarr 10.0.0.38:8989; Cleanuparr verweist ebenfalls auf Radarr/Sonarr. Huntarr hatte im sicheren DB-Scan keine URL-Hits, bleibt aber als ARR-Helfer Teil derselben Migrationsgruppe.
AD/DNS/DHCP¶
Read-only Export 2026-05-25: .backups/ad_dns_dhcp_readonly_20260525_134726
| System | IP | Rollen/Befund | Ziel-Freigaben |
|---|---|---|---|
| LANDC1 | 10.0.0.201 |
Windows Server 2025, DC, DNS, Global Catalog, alle FSMO-Rollen | DNS 53, Kerberos 88, LDAP 389/636, SMB 445, RPC dynamisch, GC 3268/3269, NTP 123, WinRM/RDP nur Management |
| LANDC2 | 10.0.0.202 |
Windows Server 2025, DC, DNS, Global Catalog, keine FSMO-Rollen | DNS 53, Kerberos 88, LDAP 389/636, SMB 445, RPC dynamisch, GC 3268/3269, NTP 123, WinRM/RDP nur Management |
DNS-Befund:
- Zone ad.lanstyle.de AD-integriert, Dynamic Update Secure.
- Zone _msdcs.ad.lanstyle.de AD-integriert, Forest-Replikation.
- Reverse-Zonen fuer 10.0.0.0 und 10.0.13.0 vorhanden; Ziel-Reverse-Zonen fuer 10.222.x.0/24 fehlen noch.
- DNS Forwarder zeigt aktuell auf 10.0.0.1.
- DNS Scavenging ist aus.
DHCP-Befund: - DHCP-Cmdlets und DHCP-Rolle sind auf beiden DCs nicht vorhanden. - DHCP-Verantwortung liegt damit nach aktuellem Stand bei UniFi, nicht bei Windows-DHCP.