09 Offene Punkte und Risiken¶
Offene Punkte¶
| Thema | Status | Nächster Schritt |
|---|---|---|
| NetBox API | Phase-3-Schreibaktion erledigt; Site Lanstyle Lindenstrasse ID 5 verifiziert |
vor weiteren NetBox-Schreibaktionen erneut Export/Snapshot ziehen |
| UniFi Firewall-Regeln | Classic API exportiert; 0 klassische Regeln im Export | vor produktiven Firewall-Aenderungen frischen Controller-Export ziehen |
| UniFi WLANs | Classic API exportiert; 3 WLANs im Export | Ziel-SSID/Port-Test fuer VLAN 220 nur nach Freigabe anlegen |
| UniFi Portprofile | Classic API exportiert; 1 Portprofil im Export | produktive Switchport-Zuordnungen separat frisch sichern |
| NPM Proxy Hosts | read-only exportiert, App-Level-Mapping dokumentiert | Backend-Ziel-IP-Mapping pro Migrationsgruppe anwenden |
| AD/DNS/DHCP | read-only inventarisiert | AD Sites/Subnets, Reverse-Zonen und DNS-Forwarder fuer 10.222.x planen |
| VLAN-ID-Konflikte | geloest | Starlink ist auf VLAN 301, LS_Clients_LAN ist auf VLAN 100 angelegt |
| VPN-Netz | kein VLAN mehr | UniFi-VPN-Pools separat dokumentieren |
| Phase-2-Gateway-Tests | erfolgreich | alle geplanten Ziel-Gateways antworten, VLAN 220 wurde getestet |
| Phase-3-Kandidaten | Portcheck vorbereitet | Monitoring als erste unkritische Migration bevorzugen; MySpeed/PBS-Portstatus klaeren |
| Dienstabhaengigkeiten | App-Level-Abhaengigkeiten fuer NPM, n8n, AI, Paperless-AI und ARR/Medien erweitert erfasst | vor Migration jeweilige Ziel-FQDNs setzen und testen |
| Harte IP-Abhaengigkeiten | Checkliste erstellt | NPM, Medien, AI, Paperless-AI und Storage vor Produktivmigration bereinigen |
| n8n Workflows | Runtime/SMTP dokumentiert; Workflow-URL-Scan ohne konkrete URL-Hits | neue Workflows nach Anlage erneut ohne Secrets exportieren |
| AD Sites/Subnets | keine Subnetze gepflegt | 10.222.x.0/24 Subnetze nach Ziel-VLANs in AD Sites planen |
| DNS Forwarder | zeigt auf 10.0.0.1 |
Ziel-Resolver/Gateway vor Migration festlegen |
| Windows DHCP | nicht auf LANDC1/2 vorhanden | DHCP bleibt in UniFi planen und dort sichern |
| NetBox Zielmodell | Parent 10.222.0.0/16 als container, Phase-3-Prefixes/IPs aktiv; altes 10.200.x-Modell vorhanden |
weitere Ziel-VLANs/Prefixes segmentweise pflegen, alte 10.200.x-Objekte als legacy behandeln |
| mDNS Scope | fachlich festlegen | AirPrint/AirPlay/HomeKit/Sonos Tests definieren |
| Kunden-/Projektsegmente | Bestand teils 244/252/253/254 |
Mapping auf 10.222.230+ entscheiden |
| IPv6 | UniFi hat IPv6 Präfixe | Zielkonzept separat bestätigen |
Hauptrisiken¶
| Risiko | Auswirkung | Gegenmaßnahme |
|---|---|---|
| AD/DNS Migration fehlerhaft | Login/DNS-Ausfall | separates Wartungsfenster, DCs zuletzt, Rollback DNS |
| NPM Backend falsch | Dienste extern/intern nicht erreichbar | Backendliste exportieren, pro Host testen |
| mDNS unvollständig | AirPrint/AirPlay/HomeKit brechen | gezielte mDNS-Regeln und Praxistests |
| IoT zu stark isoliert | Automationen fallen aus | Home Assistant als kontrollierter Broker |
| Proxmox Bridge-Änderung fehlerhaft | Host/Guests nicht erreichbar | Konsolenzugriff, Backup /etc/network/interfaces, Wartungsfenster |
| NAS/Storage Segmentierung | Medien/Paperless/Backup brechen | Mounts und Ports vorab erfassen |
| Secrets versehentlich dokumentiert | Sicherheitsvorfall | nur Vaultwarden-Referenzen, Secret-Scan vor Commit |
Aktuelle Blocker Vor Produktivmigration¶
| Blocker | Betroffen | Nächster Schritt |
|---|---|---|
| NetBox Zielobjekte teilweise geschrieben | Phase 3 erledigt, weitere Zielnetze noch nicht vollstaendig aktiv | weitere Prefixes/IPs erst je Migrationsgruppe und nach Export aktualisieren |
| DNS-Zielnamen/Reverse-Zonen noch nicht geschrieben | alle Servergruppen | DNS-Zonen sichern, TTL-Konzept bestaetigen |
| NPM Backends noch auf Alt-IPs | alle veroeffentlichten Dienste | Backend-Mapping pro Dienst vor Migration aktualisieren |
| AI Suite | durch separaten Agenten als erledigt gemeldet; read-only Verifikation zeigt Open Terminal, SearXNG und Agent Runtime bereits dual-homed in VLAN 70, Open WebUI in Proxmox noch nur mit Alt-IP sichtbar |
AI-Abschlussbericht des Fremdagenten abgleichen, bevor VLAN 70 als vollstaendig final markiert wird |
| Paperless-AI nutzt harte Paperless-IPs | Paperless-Gruppen | Lanstyle/EPXM paarweise umstellen; bis2024 ist derzeit unvollstaendig konfiguriert |
| Medien-Stack und Storage stark gekoppelt | VLAN 150/30 | als Gruppe migrieren; NFS 10.0.0.30/10.0.0.9, Prowlarr/Profilarr/Cleanuparr-URLs vorher umstellen |
| AD Sites/Subnets fehlen | Windows/AD | geplant anlegen, DCs zuletzt migrieren |
Geklaerte Kleine Unsicherheiten 2026-05-25¶
| Punkt | Ergebnis |
|---|---|
| Paperless-AI Lanstyle | nutzt 10.0.0.236:8000/api, Ziel auf Paperless Lanstyle Ziel-FQDN/IP umstellen |
| Paperless-AI EPXM | nutzt 10.0.0.237:8000/api, Ziel auf Paperless EPXM Ziel-FQDN/IP umstellen |
| Paperless-AI bis2024 | laut Erwartung produktiv, technischer Export zeigte leere PAPERLESS_API_URL; am Ende gezielt klaeren statt Migrationsblocker fuer andere Gruppen |
| SolarManager-Ziele | Wallboxen und Shelly Heizstab |
| Profilarr | nutzt Radarr 10.0.0.36:7878 und Sonarr 10.0.0.38:8989 |
| Huntarr | keine URL-Hits im sicheren DB-Scan, bleibt ARR-Helfer in Mediengruppe |
| Cleanuparr | nutzt Radarr 10.0.0.36:7878 und Sonarr 10.0.0.38:8989 |
| Radius | Linux/FreeRADIUS mit RadSec; Ziel-IP 10.222.40.36 geplant |
| HA-Stein | NPM-Backend am 2026-05-25 nach Freigabe auf 10.0.10.128:8123 korrigiert, HTTPS-Test erfolgreich |
| Zehnder Comfo Connect | 10.0.0.57, Gebaeudetechnik/Lueftung, Ziel VLAN 170 |
| Teltonika/5G Backup-WAN | Web UI http://10.255.3.1/login, VLAN/Netz laut UniFi 300/10.255.3.1 |
| UniFi Flowlogs | Portforward-Logging nach Freigabe aktiviert; API liefert weiter keine 5-Tuple-Firewall-/VPN-Flows; Wazuh-Syslog-Pfad funktioniert, aber UniFi-Firewallzeilen kommen dort nicht verwertbar an |
| UDM Conntrack | read-only Zugriff funktioniert mit root; echte Inter-Segment- und VPN-Flows sichtbar |
| VPN-/Remote-Routen | OSPF/Site-Magic-Routen 10.1/10.2/10.3/10.27/10.64/10.128/10.255.6 sichtbar |
UPnP Plex 10.0.12.206 |
dynamische externe Plex-Freigabe auf unbekannten WLAN-Client |
| Plex ungewoehnliche Ziele | Verbindungen zu 10.0.0.65/66:8888 und 10.0.0.210:80 gesehen |
| HAxStein Modbus | 10.0.10.128 spricht zu 192.168.1.217:502/tcp und 192.168.1.162:502/udp |
| AppleTV zu Meross | 10.0.0.105 -> 10.0.102.149:52432/tcp |
| SMS-MGMT Remote-Ziele | 10.0.10.12 spricht SMB/RPC zu 192.168.111.7 und Delivery-Optimization/Remote zu 10.239.40.180, 192.168.113.59 |
| UP AI Port Remote-Traffic | 10.27.0.1 <-> 10.0.12.85 stark auf 7442/7447 |
Phase-3-Restpunkte¶
| Punkt | Status | Nächster Schritt |
|---|---|---|
| Grafana NetBox-/SMTP-Nachpflege | erledigt: NetBox aktiv nachgezogen, SMTP auf smtp.ad.lanstyle.de, NPM und UDM DNS aktiv |
keine offene Phase-3-Aktion |
| Grafana Datasources | Port und Dienst geprueft, kein Secret in Doku | Datasources ueber Grafana UI/API nur mit Secret-Review fachlich pruefen |
| Prometheus Legacy-Scrape-Ziele | Prometheus und PVE Exporter sind migriert; Scrapes 10.0.0.200:9130 und 10.0.0.220 bleiben bewusst legacy |
nach Docker-Lanstyle/unpoller- und Proxmox-Migration auf Ziel-FQDNs umstellen |
| Zabbix Hosts/Agenten | erledigt: dedizierter API-Token in Vaultwarden, API-Export .backups/phase4_api_exports_20260525_221916, 3 Hosts/3 aktiv |
keine offene Phase-3-Aktion |
| Wazuh Nachpflege | dedizierter API-User ai-infra in Vaultwarden, API-Export .backups/phase4_api_exports_20260525_221916, Agents: Manager aktiv, MacBook getrennt |
Syslog-/Remote-Quellen fachlich pruefen |
| PDM Nachpflege | erledigt: CT 119 ist auf 10.222.20.20 migriert, 8443 antwortet, UDM DNS und NetBox aktiv |
keine offene Phase-3-Aktion |
| PBS/MySpeed | CT 111 und 112 sind stopped, onboot: 0 |
Nicht als Phase-3-Ausfall werten; nur nach separater Freigabe starten oder migrieren |
SmartHome-/Inventar-Restpunkte¶
| Punkt | Status | Nächster Schritt |
|---|---|---|
| Home Assistant Registry | per QEMU Guest Agent read-only exportiert | Live-Zustand optional mit HA Long-Lived Token ergaenzen |
ha-stein.epxm.de Backend |
erledigt: NPM zeigt auf 10.0.10.128:8123, HTTPS-Test erfolgreich |
spaeter bei Zielmigration auf homeassistant-stein.ad.lanstyle.de bzw. Ziel-IP umstellen |
| LaMetric | an SolarManager gekoppelt | ueber SolarManager-Regelwerk mitdenken, nicht als eigene HA-Integration behandeln |
| Lueftungsanlage | Zehnder Comfo Connect 10.0.0.57 bekannt |
Ziel VLAN 170, HA-/App-Integration fachlich pruefen |
| Meross Torsteuerung | eigenstaendige Meross-Geraete, nur HomeKit und Meross-App | VLAN 130/160 mit HomeKit/mDNS und Internetzugriff planen |
| UNAS Pro | bekanntes Storage-System, nicht sauber aus HA Registry bestaetigt | Storage-/UniFi-/NetBox-Zuordnung finalisieren |
Klare Stop-Kriterien¶
- Kein aktueller Export/Backup vorhanden.
- Kein Konsolenzugriff für Proxmox/UniFi im Wartungsfenster.
- NetBox oder Vaultwarden nicht erreichbar.
- AD/DNS-Abhängigkeiten ungeklärt.
- AirPrint/AirPlay/HomeKit nicht testbar.
Benötigte Freigaben vor produktiven Änderungen¶
- UniFi Backup und Anlegen Ziel-VLANs.
- Proxmox Bridge-Änderung.
- Migration einzelner VM/LXC.
- DNS-/DHCP-Änderungen.
- NPM Proxy Host Anpassungen.
- NetBox Schreibzugriff.