00 Ist-Analyse Netzwerk Lindenstraße¶

Stand: 2026-05-24 20:25 Arbeitsmodus: Phase 0 lesend abgeschlossen, Phase 1/2 nur mit parallel angelegten Zielnetzen gestartet

Quellen¶

Lokaler Projektordner: bisher keine vorhandene Dokumentation außer Git-Repository.
Proxmox Host: 10.0.0.220, SSH als root, rein lesend abgefragt.
UniFi API: https://10.0.0.1/proxy/network/integration/v1, rein lesend abgefragt.
Vaultwarden: https://vault.lanstyle.de, Bitwarden CLI vorhanden, Vault aktuell gesperrt.
NetBox: https://netbox.lanstyle.de, produktiv, Abgleich ausstehend bis temporärer Vaultwarden-Unlock erfolgt.

Phase-0-Discovery 2026-05-24¶

Lokale Exportablage: .backups/phase0_discovery_20260524_201636 Hinweis: Die Ablage ist absichtlich nicht versioniert. UniFi-Rohdaten koennen sensible Konfigurationsfelder enthalten.

Bereich	Ergebnis	Status
UniFi Integration API	Sites, Devices, Clients, Networks exportiert	abgeschlossen
UniFi Classic API	WLANs, Firewall-Regeln, Firewall-Gruppen, Portprofile, Network-Config, Settings, Devices, Clients exportiert	abgeschlossen
Proxmox	Hostdaten, VM-/LXC-Listen, Guest-Configs, Cluster-Ressourcen, Firewall-Status exportiert	abgeschlossen
NetBox	API ohne Token liefert `403`, Token liegt in Vaultwarden	blockiert bis Vaultwarden-Unlock
Nginx Proxy Manager	Zugriffsdaten liegen in Vaultwarden	blockiert bis Vaultwarden-Unlock
Gitea/Wiki/Vaultwarden/Open WebUI/Ollama	HTTP-Erreichbarkeitschecks abgelegt	abgeschlossen

UniFi Classic API lieferte zum Discovery-Zeitpunkt 3 WLANs, 0 klassische Firewall-Regeln und 1 Portprofil. Die Integration-API-Endpunkte fuer WLANs, Firewall-Regeln und Portprofile lieferten 404; diese Objekte wurden deshalb ueber die klassische Controller-API gelesen.

Aktuelles Hauptnetz¶

Parameter	Wert
Hauptnetz	`10.0.0.0/20`
Gateway	`10.0.0.1`
DHCP	`10.0.10.10-10.0.15.200`
Domain	`ad.lanstyle.de`
PXE	Server `10.0.0.6`, Datei `iventoy_loader_16000`
DNS/DHCP derzeit	DNS auf LANDC1/LANDC2, DHCP nach DC-Abgleich nicht auf Windows-DCs; UniFi bleibt DHCP-Quelle
mDNS	auf mehreren UniFi-Netzen aktiv

UniFi Geräte¶

Name	Modell	IP	Rolle
Lindenstr.	UDM Pro	WAN/IP laut API	Gateway/Controller
USW Pro Aggregation	USW Pro Aggregation	`10.0.0.2`	Core/Aggregation
SW-Dach-01	USW Pro 48 PoE	`10.0.0.11`	Switch
SW-Dach-02	USW Pro Max 24 PoE	`10.0.0.12`	Switch
SW-Scheune-01	US 8 60W	`10.0.0.13`	Switch
SW-Keller-01	USW Pro Max 24 PoE	`10.0.12.117`	Switch
UPS Tower	UPS Tower	`10.0.14.207`	USV/Power
AP-Elektro	AC HD	`10.0.0.21`	Access Point
AP-Büro	U7 Pro	`10.0.0.22`	Access Point
Flur OG	U7 Pro	`10.0.0.23`	Access Point
AP-Scheune	U6 LR	`10.0.0.24`	Access Point
AP-Waschraum	AC Pro	`10.0.0.25`	Access Point
U7 Outdoor	U7 Outdoor	`10.0.0.26`	Access Point
AP-Wohnzimmer	U7-Pro-Wall	`10.0.0.27`	Access Point

UniFi Netze¶

VLAN	Name	Subnetz/Gateway	DHCP	Hinweise
1	Lindenstrasse_Mgmt	`10.0.0.1/20`	`10.0.10.10-10.0.15.200`	Default, PXE aktiv, mDNS aktiv
4	Lindenstrasse_IoT	`10.0.102.1/24`	`10.0.102.100-10.0.102.200`	mDNS aktiv
5	Hauck	`10.99.0.1/24`	`10.99.0.6-10.99.0.254`	PXE `10.0.0.232`, `snponly.efi`
33	Gast	`10.10.0.1/24`	`10.10.0.6-10.10.0.254`	Internet laut API aus, mDNS aktiv
40	DMZ_ReverseProxy	`10.0.40.1/24`	`10.0.40.50-10.0.40.200`	mDNS aus
244	Kevin	`10.244.0.1/24`	`10.244.0.6-10.244.0.254`	isoliert, eigenes NAT
252	Lanstyle_HR	`10.252.0.1/24`	`10.252.0.6-10.252.0.254`	isoliert, eigenes NAT
253	TecMed	`10.253.0.1/24`	`10.253.0.6-10.253.0.254`	Kundennetz
254	Hardcoreracers	`10.254.0.1/24`	`10.254.0.100-10.254.0.254`	isoliert, eigenes NAT
10	Lanstyle Core-Mgmt	`10.200.10.1/24`	aus	bereits angelegt
20	DRK_Corosync	`10.200.20.1/24`	aus	bereits angelegt
22	DRK_CephCluster	`10.200.22.1/24`	aus	bereits angelegt
100	Starlink	unmanaged	-	WAN/Transit
300	5G Router / Teltonika Backup-WAN	unmanaged	DHCP-Guard `10.255.3.1`, Web UI `http://10.255.3.1/login`	WAN/Transit

Proxmox Host¶

Parameter	Wert
Hostname	`pve`
Management-IP	`10.0.0.220/20`
Gateway	`10.0.0.1`
Version	PVE 9.1.18
Bridge	`vmbr0` auf `eno5np0`
Storage	`local`, `local-zfs`
Sichtbare VLAN-Subinterfaces	`5`, `244`, `252`, `253`, `254`

Aktuelle /etc/network/interfaces ist einfach gehalten: vmbr0 ist statisch auf 10.0.0.220/20 gesetzt und bridged direkt auf eno5np0. Für die Zielstruktur wird eine VLAN-aware Bridge geplant, aber nicht ohne Wartungsfenster umgesetzt.

AD, DNS und DHCP¶

Read-only Export: .backups/ad_dns_dhcp_readonly_20260525_134726

Objekt	Befund
Domain	`ad.lanstyle.de`, NetBIOS `lanstyle`
Domain Controller	`LANDC1` `10.0.0.201`, `LANDC2` `10.0.0.202`
Betriebssystem	beide `Microsoft Windows Server 2025 Standard`
Global Catalog	beide DCs
FSMO-Rollen	alle auf `LANDC1.ad.lanstyle.de`
AD Sites	nur `Default-First-Site-Name`
AD Subnets	keine Subnetze gepflegt
DNS Forwarder	`10.0.0.1`
DNS Recursion	aktiv
DNS Scavenging	aus
DNS-Zonen	8 Zonen, davon `ad.lanstyle.de` und `_msdcs.ad.lanstyle.de` AD-integriert
DHCP auf DCs	DHCP-Rolle/Cmdlets nicht vorhanden; keine Windows-DHCP-Scopes auf LANDC1/2 ermittelt

Wichtige Konsequenzen fuer die Migration: - Fuer 10.222.0.0/16 muessen AD Sites/Subnets neu geplant und spaeter gepflegt werden. - DNS-Forwarding auf 10.0.0.1 muss vor der finalen Gateway-Migration angepasst werden. - Reverse-DNS-Zonen fuer 10.222.x.0/24 fehlen noch. - DHCP wird weiterhin ueber UniFi geplant; Windows-DHCP ist nach aktuellem Stand nicht beteiligt.

Wichtige VMs und LXCs¶

ID	Typ	Name	Aktuelle IP/Netz	Zielgruppe
101	LXC	iventoy	`10.0.0.6`	PXE/Lab
102	VM	FOGServer	aus UniFi `10.0.0.232`	PXE/Imaging
104	VM	HAxEberhardt	`10.0.0.230`	SmartHome
105	VM	HAxStein	`10.0.10.128`	SmartHome
109	LXC	smtp-relay	`10.0.0.3`	Server-Core
110	LXC	wazuh	`10.222.60.10`	Monitoring, migriert nach VLAN 60
115	LXC	zabbix	`10.222.60.11`	Monitoring, migriert nach VLAN 60
116	LXC	grafana	`10.222.60.12`	Monitoring, migriert nach VLAN 60
117	LXC	prometheus	`10.222.60.13`	Monitoring, migriert nach VLAN 60
118	LXC	prometheus-pve-exporter	`10.222.60.14`	Monitoring, migriert nach VLAN 60
119	LXC	proxmox-datacenter-manager	`10.222.20.20`	Proxmox/Management, migriert nach VLAN 20
120	VM	Aruba-NetEdit-2.16.0	`10.0.0.187`	Management
201	VM	LANDC1	`10.0.0.201`	AD/DNS/Core
202	VM	LANDC2	`10.0.0.202`	AD/DNS/Core
203	VM	Mailstore	`10.0.0.204`	Server-Core
204	VM	RemoteApps	`10.0.0.205`	Server-Core
250	LXC	openwebui	`10.0.0.250`	AI/App
251	LXC	gitea	`10.0.1.251`	Git/Core
254	LXC	docmost	`10.0.1.252`	Wiki/Doku
257	LXC	n8n	`10.0.1.241`	Automation
258	LXC	vaultwarden	`10.0.1.242`	Secrets/Core
300	LXC	docker-lanstyle	`10.0.0.200`	App-Host
308	LXC	npm	`10.0.0.5`	Reverse Proxy
309	LXC	netbox	`10.0.0.207`	NetBox
401	LXC	hkknx	`10.0.0.231`	KNX/SmartHome
416	LXC	plex	`10.0.0.190`	Medien
501	VM	kevConanExiles	`10.244.0.2`, VLAN 244	Projekt/Kunde
601	VM	sgo-radius	`10.0.0.251`	Radius/Auth
701	VM	SMS-MGMT	`10.0.10.12`	Management/Test
802	LXC	rustdeskserver	`10.0.0.186`	Remote Access
901	VM	hcr-gameserver	`10.254.0.2`, VLAN 254	Projekt/Kunde

Relevante Clients und Sondergeräte¶

Name	IP	Zielsegment
Synology Linden NAS	`10.0.0.30`	Storage-Backup
UNAS Pro	`10.0.0.9`	Storage-Backup
iLO HPE DL360 Gen10	ohne IP in API	Management
Canon iR-ADV C256	`10.0.0.80`	Drucker
Dymo Label Drucker	`10.0.0.82`	Drucker
AppleTV Wohnzimmer	`10.0.0.105`	Medien-AirPlay
Sonos Geräte	`10.0.0.116`, `10.0.14.115`, `10.0.15.7`	Medien-AirPlay
Hue OG	`10.0.0.41`	SmartHome
KNX Gateway	`10.0.0.50`	SmartHome
Busch Control Touch	`10.0.0.59`	SmartHome
SolarManager	`10.0.0.52`	Gebäudetechnik
ETA Heizungskessel	`10.0.0.42`	Gebäudetechnik
ComfoConnect Gateway	`10.0.0.57`	Gebäudetechnik
Wallboxen	`10.0.0.65`, `10.0.0.66`	Gebäudetechnik
Kameras/Tür/Chime	diverse `10.0.0.x`, `10.0.102.x`, `10.0.14.x`	Kameras-Security
GB10/Ollama	`10.0.14.43`	Server-Core/AI

Offene Ist-Analyse¶

Nginx Proxy Manager Export der Proxy Hosts.
GPOs und AD-Objektstruktur bei Bedarf separat read-only auswerten.