Umsetzungs-Runbook IP-/VLAN-Migration¶
Stand: 2026-05-25
Dieses Runbook ist der konkrete Arbeitsplan fuer die naechsten Schritte der Lindenstrasse-Migration. Es ersetzt keine Wartungsfenster-Freigabe: jede produktive Umschaltung braucht vorher Backup, Export, Rollback und Abnahme.
Leitentscheidung¶
- Zieladressraum bleibt
10.222.0.0/16. - Interne Ost-West-Kommunikation wird bevorzugt ueber DNS-Namen gefuehrt.
- Oeffentliche Namen wie
git.lanstyle.de,wiki.lanstyle.de,vault.lanstyle.de,ai.lanstyle.debleiben fuer Clients und NPM erhalten. - Interne Namen werden stabil vorbereitet, z. B.
smtp.ad.lanstyle.de,ollama.ad.lanstyle.de,searxng.ad.lanstyle.de,agent-runtime.ad.lanstyle.de,pve.ad.lanstyle.de,nas-linden.ad.lanstyle.de. - Harte IPs bleiben nur fuer Systeme ohne verlaessliche DNS-Unterstuetzung erlaubt und werden in NetBox sowie Firewall-Matrix dokumentiert.
Stop-Kriterien¶
| Kriterium | Aktion |
|---|---|
| Kein aktuelles Backup/Snapshot fuer betroffenen Guest | Migration nicht starten |
| Kein Export der aktuellen Konfiguration | Migration nicht starten |
| Ziel-IP nicht dokumentiert/reserviert | Migration nicht starten |
| NPM-Backend oder App-Abhaengigkeit unklar | Migration nicht starten |
| Rollback nicht trocken nachvollziehbar | Migration nicht starten |
| Dienst ist Core-Abhaengigkeit fuer andere Gruppen | eigenes Wartungsfenster planen |
Phase 0: Abschluss Discovery¶
Status: fuer Planung ausreichend abgeschlossen, Detailabhaengigkeiten bleiben je Dienst vor Migration zu pruefen.
| Bereich | Konkrete Pruefung | Ergebnisziel |
|---|---|---|
| n8n | Workflow-Inhalt ohne Credentials exportieren | Ziel-URLs, Ports und FQDNs je Workflow |
| Paperless-AI | Umgebungsvariablen und App-Konfig je Instanz lesen | PAPERLESS_API_URL und AI/API-Ziele bekannt |
| Medien | App-Verknuepfungen und Mounts aus SAB/Radarr/Sonarr/Readarr/Prowlarr/Plex lesen | keine unbekannten 10.0.x.x-Ziele |
Status 2026-05-25: App-Level-Abhaengigkeiten fuer NPM, n8n, AI Suite und ARR/Medien sind in App-Level-Abhaengigkeiten dokumentiert. Monitoring ist migriert und nachgepflegt. Die AI-Suite wurde laut Rueckmeldung durch einen separaten Agenten bearbeitet; lokale Verifikation ist noch mit dessen Abschlussbericht abzugleichen. Naechster sinnvoller Arbeitsblock ist Storage/Medien- oder Paperless-Vorbereitung, nicht AD/NPM-Core.
| Storage | NFS/SMB Exports und ACLs auf NAS/UNAS erfassen | neue Client-Netze erlaubbar |
| AD/DNS | AD Sites/Subnets und Reverse-Zonen vorbereiten | Plan fuer 10.222.x.0/24 vollstaendig |
| UniFi | Firewall/Portprofile/WLANs frisch exportieren | Rollback-Export vorhanden |
Phase 1: Schreibvorbereitung Ohne Umschaltung¶
Diese Schritte duerfen keine produktiven Ports, WLANs oder Guest-IP-Adressen umstellen.
- UniFi Export mit Zeitstempel erstellen: Networks, WLANs, Firewall, Portprofile, Switchports.
- Proxmox Host- und Guest-Konfigurationen exportieren:
qm config,pct config, Bridge-Konfiguration. - NPM Proxy-Host-Liste exportieren und Backend-Mapping pruefen.
- NetBox-Schreibset vorbereiten, aber erst nach separater Schreibfreigabe ausfuehren.
- DNS-Schreibset vorbereiten, aber DC-/Resolver-Aenderungen erst nach separater Freigabe ausfuehren.
NetBox-Dry-Run:
scripts/netbox-lindenstrasse-plan.py
Live-Dry-Run nur mit temporaerem Token aus Vaultwarden:
NETBOX_TOKEN=... scripts/netbox-lindenstrasse-plan.py --live
Falls die lokale CA-Kette auf dem Arbeitsrechner nicht vertraut ist:
NETBOX_TOKEN=... scripts/netbox-lindenstrasse-plan.py --live --insecure
NetBox-Schreibset Geplant¶
Nur nach expliziter Freigabe in NetBox schreiben.
| Objekt | Soll-Aktion | Status |
|---|---|---|
Site Lanstyle Lindenstrasse |
weiterverwenden | keine neue Site |
Prefix 10.222.0.0/16 |
anlegen | container, da NetBox keinen Prefix-Status planned anbietet |
VLAN Group Lindenstrasse |
anlegen/weiterverwenden | planned/active nach Bestand |
| Ziel-VLANs | VLANs 10,20,30,40,50,60,70,100,110,120,130,140,150,160,170,180,220,230-239,250 dokumentieren | planned |
| VPN | kein VLAN 190 anlegen | UniFi VPN separat dokumentieren |
Legacy 10.200.x |
als legacy/deprecated markieren | nicht loeschen |
| Ziel-IPs | Gateways, statische Hosts und Reservierungen anlegen | planned |
| Services | DNS, SMTP, NPM, Gitea, Wiki, Vaultwarden, NetBox, n8n, AI, Paperless, Medien | planned mit Ziel-FQDN |
DNS-Schreibset Geplant¶
Nur nach separater DNS-Freigabe und Backup der DNS-Zonen schreiben.
| Name | Ziel | Zweck |
|---|---|---|
landc1.ad.lanstyle.de |
10.222.40.10 |
DC/DNS Ziel-IP |
landc2.ad.lanstyle.de |
10.222.40.11 |
DC/DNS Ziel-IP |
smtp.ad.lanstyle.de |
10.222.40.25 |
SMTP Relay fuer Apps |
gitea.ad.lanstyle.de |
10.222.40.31 |
internes Gitea Backend |
wiki.ad.lanstyle.de |
10.222.40.32 |
internes Wiki Backend |
vaultwarden.ad.lanstyle.de |
10.222.40.33 |
internes Vaultwarden Backend |
netbox.ad.lanstyle.de |
10.222.40.34 |
internes NetBox Backend |
n8n.ad.lanstyle.de |
10.222.40.35 |
internes n8n Backend |
openwebui.ad.lanstyle.de |
10.222.70.10 |
Open WebUI intern |
ollama.ad.lanstyle.de |
10.222.70.11 |
Ollama/GB10 intern |
searxng.ad.lanstyle.de |
10.222.70.12 |
SearXNG intern |
openterminal.ad.lanstyle.de |
10.222.70.13 |
Open Terminal intern |
agent-runtime.ad.lanstyle.de |
10.222.70.20 |
Agent Runtime, LiteLLM, MCPHub |
up-ai-port.ad.lanstyle.de |
10.222.70.21 |
UP AI Port / AI Hardware |
grafana.ad.lanstyle.de |
10.222.60.12 |
Grafana intern |
prometheus.ad.lanstyle.de |
10.222.60.13 |
Prometheus intern |
pve-exporter.ad.lanstyle.de |
10.222.60.14 |
Prometheus PVE Exporter |
zabbix.ad.lanstyle.de |
10.222.60.11 |
Zabbix intern |
wazuh.ad.lanstyle.de |
10.222.60.10 |
Wazuh intern |
pve.ad.lanstyle.de |
10.222.20.10 |
Proxmox Management |
nas-linden.ad.lanstyle.de |
10.222.30.10 |
Synology/NAS |
unas-linden.ad.lanstyle.de |
10.222.30.11 |
UNAS Pro |
Phase 2: Testnetz Abnahme¶
VLAN 220 ist technisch erreichbar und Gateways antworten. Fuer die operative Abnahme bleiben diese Tests als Checkliste:
| Test | Erwartung |
|---|---|
| Testclient VLAN 220 DHCP | Lease aus 10.222.220.0/24 |
| Gateway | 10.222.220.1 pingbar |
| DNS intern | ad.lanstyle.de und interne FQDNs aufloesbar |
| Internet | HTTPS extern funktioniert |
| Default-Deny | kein freier Zugriff in Server/Management VLANs |
| Erlaubte Admin-Pfade | Management kann Testclient erreichen |
| mDNS-Test | nur definierte Test-Reflexion, kein pauschales Flooding |
Phase 3: Monitoring Migration¶
Monitoring ist die erste produktnahe Migrationsgruppe. Reihenfolge:
| Schritt | Dienst | Alt-IP | Ziel-IP | Muss Vorher |
|---|---|---|---|---|
| 1 | Grafana | 10.0.0.136 |
10.222.60.12 |
erledigt 2026-05-25; Snapshot pre-vlan60-grafana-20260525_204410, NPM getestet |
| 2 | Prometheus | 10.0.0.137 |
10.222.60.13 |
erledigt 2026-05-25; Targets gruen, Legacy-Ziele 10.0.0.200/10.0.0.220 bewusst belassen |
| 3 | Prometheus PVE Exporter | 10.0.0.138 |
10.222.60.14 |
erledigt 2026-05-25; Metrics gruen |
| 4 | Zabbix | 10.0.0.135 |
10.222.60.11 |
erledigt 2026-05-25; Dienst und UDM DNS getestet, Agentenliste fachlich offen |
| 5 | Wazuh | 10.0.0.7 |
10.222.60.10 |
erledigt 2026-05-25; NPM und UDM Local DNS getestet |
| 6 | Proxmox Datacenter Manager | 10.0.0.240 |
10.222.20.20 |
erledigt 2026-05-25; Dienste aktiv, UDM Local DNS aktiv |
Read-only-Refresh 2026-05-25 14:52, aktualisiert 18:02:
| Dienst | Proxmox CT | Aktuelle Ports | Harte Alt-IP-Ziele | Bewertung |
|---|---|---|---|---|
| Grafana | 116 | TCP 3000, SSH 22, lokales SMTP 25 |
SMTP smtp.ad.lanstyle.de:25; NPM grafana.epxm.de auf 10.222.60.12:3000; UDM Local DNS aktiv |
migriert, NetBox/SMTP-DNS-first erledigt |
| Prometheus | 117 | TCP 9090, SSH 22, lokales SMTP 25 |
10.0.0.200:9130, 10.0.0.220, SMTP/Gateway; PVE Exporter jetzt 10.222.60.14:9221 |
migriert, Legacy-Ziele fuer spaetere Systemmigration |
| PVE Exporter | 118 | TCP 9221, SSH 22, lokales SMTP 25 |
wird von Prometheus via 10.222.60.14:9221 gescraped |
migriert |
| Zabbix | 115 | TCP 80, 10051, SSH 22, SNMP lokal, Postgres lokal |
SMTP 10.0.0.3, UDM DNS zabbix.ad.lanstyle.de |
migriert, Host-/Agentenliste nachziehen |
| Wazuh | 110 | TCP 443, 1514, 1515, 55000, UDP 514, SSH 22; OpenSearch lokal |
NPM wazuh.lanstyle.de auf 10.222.60.10:443; UDM DNS wazuh.ad.lanstyle.de aktiv |
migriert, API-Token und fachliche Syslog-Quellen offen |
| PDM | 119 | TCP 8443, SSH 22, lokales SMTP 25 |
lokale Alt-IP-Anzeigen in /etc/hosts und /etc/issue korrigiert; UDM DNS aktiv |
migriert nach VLAN 20 |
Aktueller Export: .backups/phase3_monitoring_readonly_20260525_212431 lokal, nicht committed. Bestaetigt wurden die migrierten Monitoring-CTs 110 und 115-118, PDM 119, die gestoppten CTs 111/112 sowie die weiterhin offenen Legacy-Ziele fuer Prometheus. Die detaillierte Schreibvorbereitung steht in Phase 3 Monitoring Vorbereitung.
Porttests 2026-05-25:
| Dienst | Test | Ergebnis |
|---|---|---|
| Grafana | 10.222.60.12:3000 |
TCP offen, HTTP 200 /login |
| Prometheus | 10.222.60.13:9090/-/ready |
HTTP 200 |
| PVE Exporter | 10.222.60.14:9221/metrics |
HTTP 200 |
| Zabbix | 10.222.60.11:80, zabbix.ad.lanstyle.de:10051 |
HTTP 200, TCP offen |
| Wazuh | 10.222.60.10:443, wazuh.lanstyle.de |
HTTPS 302 /app/login; TCP 1514/1515/55000 offen |
| PDM | 10.222.20.20:8443 |
HTTPS 200, TCP offen |
UDM-Flow-Abgleich 2026-05-25 20:15:
| Ergebnis | Konsequenz |
|---|---|
| Keine neuen produktiven Monitoring-Abhaengigkeiten im UDM-Conntrack erkannt | Grafana bleibt erster Kandidat |
| Neue SmartHome-/Modbus-Flows fuer HAxStein erkannt | HA-Stein nicht vor Modbus-Zielklaerung migrieren |
Sehr aktiver UP AI Port-Traffic zu 10.27.0.1 auf 7442/7447 |
AI-VLAN-Migration separat vorbereiten |
| SMS-MGMT spricht zu privaten Remote-Zielen | Lab/Test-Sonderfall, nicht in Phase 3 aufnehmen |
Konkrete Vorbereitungen vor Phase-3-Umschaltung:
- Grafana: erledigt; UDM DNS aktiv; SMTP-Ziel ist auf
smtp.ad.lanstyle.deumgestellt. - Prometheus: erledigt; PVE-Exporter-Scrape auf
10.222.60.14:9221; Legacy-Scrapes10.0.0.200:9130und10.0.0.220bleiben bis deren Migration. - PVE Exporter: erledigt; UDM DNS
pve-exporter.ad.lanstyle.deaktiv. - Zabbix: erledigt; UDM DNS aktiv, lokale Hosts-Override entfernt, API-Token liegt in Vaultwarden, API-Export zeigt
3Hosts/3aktiv. - Wazuh: erledigt; NPM aktiv auf Ziel-IP, API-User
ai-infraliegt in Vaultwarden, API-Export zeigt Manager aktiv und MacBook getrennt; Syslog-Quellen fachlich offen. - PDM: erledigt; CT
119auf VLAN20, lokale Alt-IP-Anzeigen korrigiert, UDM Local DNS aktiv.
Minimaler Startumfang fuer die naechste Freigabe:
| Schritt | Inhalt | Noch keine Produktivumschaltung |
|---|---|---|
| 1 | DNS-Zielnamen fuer Monitoring vorbereiten: grafana.ad.lanstyle.de, prometheus.ad.lanstyle.de, pve-exporter.ad.lanstyle.de, zabbix.ad.lanstyle.de, wazuh.ad.lanstyle.de |
ja |
| 2 | NetBox-Zielobjekte fuer Monitoring/PDM als active pflegen |
erledigt 2026-05-25 |
| 3 | UniFi-Firewall-Regelset fuer VLAN 60 als Entwurf dokumentieren |
ja |
| 4 | Proxmox-Snapshot-/Rollback-Kommandos fuer CT 116 Grafana vorbereiten |
ja |
| 5 | Wartungsfenster fuer Grafana-Migration separat freigeben | erst danach produktiv |
Pro Guest:
- Snapshot/Backup erstellen oder bestaetigen.
qm configoderpct configexportieren.- App-Konfig mit
10.0.-Suche pruefen. - Ziel-IP und DNS vorbereiten.
- Firewall-Regeln nach Matrix vorbereiten.
- Im Wartungsfenster VLAN/IP umstellen.
- Dienst lokal, per DNS, per NPM und im Monitoring testen.
- Rollback-Fenster offen lassen.
Phase 4: Storage Und Medien Vorbereiten¶
| Dienst | Alt-IP | Ziel-IP | Vorbereitende Aenderung |
|---|---|---|---|
| Synology | 10.0.0.30 |
10.222.30.10 |
NFS/SMB ACLs fuer Proxmox und VLAN 150 planen |
| UNAS Pro | 10.0.0.9 |
10.222.30.11 |
Freigaben und ACLs fuer Medien/Proxmox planen |
| Proxmox | 10.0.0.220 |
10.222.20.10 |
NFS Client-IP und Monitoring/NPM Ziel beachten |
Medien werden als gekoppelte Gruppe behandelt: SABnzbd, Radarr, Sonarr, Readarr, Prowlarr, Overseerr, Plex, Tautulli und Storage-Pfade muessen zusammen konsistent sein.
Phase 5: AI Suite¶
AI Suite wurde laut Rueckmeldung durch einen separaten Agenten bearbeitet. Vor weiteren eigenen Aenderungen nur read-only gegenpruefen und den Abschlussbericht des anderen Agents uebernehmen.
| Dienst | Alt-IP | Ziel-IP | Vorbereitende Aenderung |
|---|---|---|---|
| Open WebUI | 10.0.0.250 |
10.222.70.10 |
Proxmox zeigt noch nur Alt-IP; https://ai.lanstyle.de/ antwortet HTTP 200; Abschlussbericht abgleichen |
| Ollama/GB10 | 10.0.14.43, 10.0.0.249 |
10.222.70.11 |
ollama.ad.lanstyle.de einfuehren |
| SearXNG | 10.0.1.240 |
10.222.70.12 |
dual-homed mit VLAN 70 verifiziert |
| Open Terminal | 10.0.1.253 |
10.222.70.13 |
dual-homed mit VLAN 70 verifiziert |
| Agent Runtime / LiteLLM / MCPHub | 10.0.1.243 |
10.222.70.20 |
dual-homed mit VLAN 70 verifiziert |
| UP AI Port | 10.0.12.85 |
10.222.70.21 |
Switchport/VLAN-Zuweisung und AI-Hardware-Zugriffe pruefen |
Phase 6: Paperless Paarweise¶
| Paar | Muss Vorher |
|---|---|
| paperless-lanstyle + paperless-ai-lanstyle | PAPERLESS_ALLOWED_HOSTS, CSRF, OAuth, PAPERLESS_API_URL auf DNS/Ziel |
| paperless-epxm + paperless-ai-epxm | PAPERLESS_ALLOWED_HOSTS, CSRF, OAuth, PAPERLESS_API_URL auf DNS/Ziel |
| paperless-bis2024 + paperless-ai-bis2024 | NPM Backend und AI/API-Ziele final pruefen |
Phase 7: Core Dienste¶
Empfohlene Reihenfolge:
- NetBox.
- Gitea und Wiki zusammen mit Deploy-Test.
- n8n nach Workflow-Review.
- Vaultwarden mit SMTP-Test.
- SMTP Relay, nachdem Apps auf
smtp.ad.lanstyle.devorbereitet sind. - NPM erst, wenn Backend-Mapping fuer alle Hosts vollstaendig ist.
- AD/DNS zuletzt in eigenem Wartungsfenster.
Phase 8: Endgeraete Und mDNS¶
| Segment | Ziel-VLAN | Muss Getestet Werden |
|---|---|---|
| Drucker | 140 | IPP 631, RAW 9100, AirPrint/mDNS |
| Medien/AirPlay | 150 | AirPlay, RAOP, Sonos, Plex Clients |
| SmartHome | 160 | Home Assistant, KNX, Hue, HomeKit |
| Gebaeudetechnik | 170 | Solar, Heizung, Wallbox, Klima; SolarManager-IP-Ziele fuer Tesla Wall Connector, Juice Charger, Go-e Charger und Shelly Heizstab nach Migration anpassen |
| IoT | 130 | nur erlaubte Pfade zu SmartHome/DNS/NTP |
| Clients | 100/110 | DNS, AD, Internet, Drucker, Medien |
| Gaeste | 120 | Internet-only, keine internen Ziele |
Legacy-Abbau¶
10.0.0.0/20 wird erst abgebaut, wenn alle Punkte erfuellt sind:
- NPM-Backends zeigen nicht mehr auf
10.0.x.x. - Monitoring ist gruen oder bewusst dokumentiert.
- NetBox enthaelt Zielobjekte als
active. - DNS Alt-Records sind identifiziert.
- App-Konfigurationen enthalten keine ungeplanten
10.0.x.x-Abhaengigkeiten. - Rollback-Fenster ist abgeschlossen und abgenommen.