06 NetBox-Pflegeplan¶
NetBox ist produktiv. Änderungen erfolgen nur nach expliziter Freigabe und vorherigem Export.
Zielmodell¶
| Objekt | Ziel |
|---|---|
| Site | bestehende Site Lanstyle Lindenstrasse weiterverwenden |
| Tenant/Customer | Lanstyle intern und ggf. Kunden-/Projektsegmente |
| VLAN Group | Lindenstraße |
| Prefixes | alle 10.222.x.0/24 Zielnetze |
| VLANs | VLAN IDs 10,20,30,40,50,60,100,110,120,130,140,150,160,170,180,220,230-239,250 |
| IP-Adressen | Gateways, statische Hosts, Reservierungen |
| Devices | UniFi Gateway, Switches, APs, NAS, iLO, Sondergeräte |
| Virtualization | Proxmox Cluster/Host, VMs, LXCs |
| Services | DNS, DHCP, SMTP Relay, NPM, Gitea, Vaultwarden, NetBox, n8n, Open WebUI |
| Tags | migration-lindenstr, legacy-10.0.0.0-20, target-10.222, requires-mdns, critical-service |
Vorgehen¶
- Vaultwarden temporär entsperren.
- NetBox API-Token nur temporär verwenden.
- Bestehende Sites/Prefixes/VLANs/Devices/VMs nur lesen.
- Realität aus UniFi/Proxmox mit NetBox vergleichen.
- Differenzen als Markdown-Bericht dokumentieren.
- Zielobjekte erst nach Freigabe anlegen.
Schreibset Fuer Freigabe¶
Dieses Schreibset ist vorbereitet, aber noch nicht ausgefuehrt. NetBox bleibt produktive Source of Truth; daher nur nach Freigabe und aktuellem Export schreiben.
| Objekt | Aktion | Zielstatus |
|---|---|---|
Site Lanstyle Lindenstrasse |
bestehende Site weiterverwenden | unveraendert |
Parent Prefix 10.222.0.0/16 |
neu anlegen, falls nicht vorhanden | planned |
Ziel-Prefixes /24 |
pro Ziel-VLAN anlegen | planned |
| VLANs | Ziel-VLANs 10,20,30,40,50,60,100,110,120,130,140,150,160,170,180,220,230-239,250 erfassen | planned |
| Remote Access | kein VLAN 190; UniFi VPN separat dokumentieren |
dokumentiert |
Legacy 10.200.x |
als legacy/deprecated kennzeichnen | nicht loeschen |
| Gateways | .1 je Zielprefix erfassen |
planned/reserved |
| Statische Ziel-IPs | Dienst-IP je Matrix erfassen | planned |
| Tags | migration-lindenstr, legacy-10.0.0.0-20, target-10.222, requires-mdns, critical-service |
nutzbar |
Automatisierte Vorbereitung¶
Das geplante Schreibset liegt maschinenlesbar in data/netbox-lindenstrasse-target-plan.json. Das Skript scripts/netbox-lindenstrasse-plan.py erzeugt daraus standardmaessig nur einen Offline-Dry-Run.
Beispiele:
# Kein Token, kein NetBox-Zugriff, keine Aenderung:
scripts/netbox-lindenstrasse-plan.py
# Live-Dry-Run gegen NetBox, Token nur temporaer aus der Umgebung.
# Platzhalterwert aus Vaultwarden einsetzen, nicht dokumentieren:
NETBOX_TOKEN='<aus-vaultwarden-einsetzen>' scripts/netbox-lindenstrasse-plan.py --live
# Live-Dry-Run bei interner CA-/Zertifikatskette:
NETBOX_TOKEN='<aus-vaultwarden-einsetzen>' scripts/netbox-lindenstrasse-plan.py --live --insecure
# Schreibend nur nach separater Freigabe:
NETBOX_TOKEN='<aus-vaultwarden-einsetzen>' scripts/netbox-lindenstrasse-plan.py --live --apply
Hinweise:
- Das Skript schreibt nie ohne --apply.
- --apply ist nur zusammen mit --live moeglich.
- Token werden nicht geloggt und nicht in Dateien geschrieben.
- --insecure ist nur fuer den Live-Dry-Run/Apply in der internen Umgebung vorgesehen, wenn die lokale CA-Kette nicht vertraut ist.
- VLANs werden im Skript als active angelegt, weil NetBox je nach Version keinen VLAN-Status planned kennt; der Planungszustand steht in Beschreibung, Prefix-Status und Tags.
Live-Dry-Run 2026-05-25:
- Erfolgreich ohne --apply ausgefuehrt.
- Export: .backups/netbox_lindenstrasse_live_dryrun_20260525_162408.txt
- Site Lanstyle Lindenstrasse existiert.
- VLAN Group Lindenstrasse fehlt; VLANs wuerden aktuell ohne Gruppe geplant.
- Tags migration-lindenstr und target-10.222 wuerden neu angelegt.
- Parent Prefix 10.222.0.0/16, Child Prefixes, Gateway-IPs und statische Ziel-IPs wuerden neu angelegt.
- Viele Ziel-VLANs existieren bereits in NetBox.
Schreibaktion 2026-05-25:
- Nach expliziter Freigabe wurde ausschliesslich die VLAN Group Lindenstrasse angelegt.
- Scope: Site Lanstyle Lindenstrasse
- NetBox-ID: 1
- Export vorher/nachher: .backups/netbox_vlan_group_create_20260525_172704
- Keine VLANs, Prefixes oder IP-Adressen wurden geschrieben.
Phase-0-Status 2026-05-24¶
NetBox konnte ohne API-Token nur bis zur HTTP-Erreichbarkeit geprueft werden. Die API antwortet ohne Token mit 403, was fuer die produktive Instanz plausibel ist. Der vollstaendige Abgleich gegen Sites, Prefixes, VLANs, Devices, VMs und Services bleibt blockiert, bis Vaultwarden temporaer entsperrt ist und der Eintrag Lanstyle / NetBox API Token nur im laufenden Prozess verwendet werden kann.
Es wurden keine NetBox-Objekte angelegt, geaendert oder geloescht.
Read-only API-Abgleich 2026-05-25¶
Exportablage: .backups/phase0_readonly_followup_20260525_132455
NetBox wurde mit dem Vaultwarden-Eintrag Lanstyle / NetBox API Token ausschliesslich lesend abgefragt. Der Vault wurde danach wieder gesperrt.
Ergebnisse:
- Sites gesamt: 5; die Site Lanstyle Lindenstrasse existiert bereits.
- Prefixes gesamt: 49; fuer Lindenstrasse sind Legacy-/Altmodelle dokumentiert, aber kein Prefix aus 10.222.0.0/16.
- VLANs gesamt: 48; fuer Lanstyle Lindenstrasse existieren u. a. alte VLANs 10, 20, 40, 50, 60 mit 10.200.x-Planung. VLAN 100 ist in NetBox fuer Lindenstrasse noch nicht vorhanden.
- Devices gesamt: 893; fuer Lindenstrasse sind UniFi/Netzwerkgeraete, Proxmox PVE und mehrere APs/Switches mit 10.200.10.x-Adressen dokumentiert.
- VMs gesamt: 90; fuer den Lanstyle-PVE-Cluster sind viele VMs/LXCs mit geplanten 10.200.20.x/10.200.40.x-Adressen vorhanden.
- IPs gesamt: 827; Detailabgleich gegen Realitaet bleibt offen, da die produktive Realitaet aktuell weiter 10.0.0.0/20 nutzt.
Abweichung zur Zielplanung:
- NetBox enthaelt bereits ein altes Zielmodell auf 10.200.x.
- Die neue Zielstruktur 10.222.0.0/16 ist noch nicht als Parent/Child-Prefixes angelegt.
- Keine NetBox-Schreibaktion wurde durchgefuehrt.
Empfehlung fuer die Freigabephase:
1. Vor Schreibzugriff NetBox-Export/Snapshot erstellen.
2. Bestehende Site Lanstyle Lindenstrasse weiterverwenden, keine neue parallele Site anlegen.
3. Alte 10.200.x-Objekte als deprecated/legacy markieren oder in einer separaten Rolle belassen.
4. Neues Parent-Prefix 10.222.0.0/16 und Ziel-VLANs als planned erfassen.
5. Erst nach Migration je Segment Prefix/IPs auf active setzen.
Phase-3-Schreibaktion 2026-05-25¶
Nach expliziter Freigabe wurde die Phase-3-Nachpflege schreibend ausgefuehrt.
Sicherheitspruefung:
- Exakte Site-Aufloesung: Lanstyle Lindenstrasse
- NetBox Site-ID: 5
- Site-Slug: lanstyle-lindenstrasse
- VLAN Group: Lindenstrasse, ID 1
- Keine andere Site wurde verwendet.
Export/Backup:
- .backups/netbox_phase3_update_20260525_215314
Geschriebene/aktualisierte Objekte:
| Objekt | Status |
|---|---|
Parent Prefix 10.222.0.0/16 |
container, weil diese NetBox-Version keinen Prefix-Status planned anbietet |
Prefix 10.222.20.0/24 |
active |
Prefix 10.222.60.0/24 |
active |
VLAN 20 Proxmox-Hypervisor |
active in VLAN Group Lindenstrasse |
VLAN 60 Monitoring-Logging |
active in VLAN Group Lindenstrasse |
10.222.20.20/24 |
active, proxmox-datacenter-manager.ad.lanstyle.de |
10.222.60.10/24 |
active, wazuh.ad.lanstyle.de |
10.222.60.11/24 |
active, zabbix.ad.lanstyle.de |
10.222.60.12/24 |
active, grafana.ad.lanstyle.de |
10.222.60.13/24 |
active, prometheus.ad.lanstyle.de |
10.222.60.14/24 |
active, pve-exporter.ad.lanstyle.de |
Nicht geaendert: - Keine fremden Sites. - Keine produktiven Altobjekte geloescht. - Keine Secrets in NetBox-Kommentaren, Markdown oder Git.
Geplante Prefixes¶
- Parent:
10.222.0.0/16 - Child Prefixes: je VLAN ein
/24 - Status zunächst
planned - Nach erfolgreicher Migration je Segment auf
active
Geplante IPAM-Konvention¶
| IP-Bereich | NetBox-Rolle |
|---|---|
.1 |
Gateway/VRRP |
.2-.19 |
Network Infrastructure |
.20-.99 |
Static |
.100-.199 |
DHCP Pool |
.200-.239 |
Reserved |
.240-.254 |
Special/Temporary |
Secrets¶
- NetBox API Token:
Secret liegt in Vaultwarden: Lanstyle / NetBox API Token - UniFi API Token:
Secret liegt in Vaultwarden: Lanstyle / UniFi API Token - NPM Zugang:
Secret liegt in Vaultwarden: Lanstyle / Nginx Proxy Manager - n8n API Token:
Secret liegt in Vaultwarden: Lanstyle / n8n API Token AI Infra
Keine Secret-Werte in NetBox-Kommentaren, Markdown oder Git speichern.