# Plan: Dokumentation nach VPN-Analyse aktualisieren

## Kontext

Während der Analyse des VPN-Timeouts (flow.wvits.de nicht erreichbar über Client-VPN) wurden folgende Erkenntnisse gewonnen:

- **gw-nu-wan01** hat ein direktes DMZ-VLAN-Interface (igb0.811, IP 10.10.81.14)
- **srv-revproxy01** hat gw-nu-wan01 als Default-Gateway (10.10.81.14), NICHT gw-nu-dmz02
- Admin-VPN (10.250.0.0/24): `pass to any` → funktioniert
- Client-VPN (10.250.1.0/24): Firewall-Regel für 10.10.81.4:443 wurde hinzugefügt (Easy Rule), 10.10.81.4 in OpenVPN "IPv4 Local Networks" ergänzt
- srv-revproxy01 Routing: `10.10.10.0/24` und `10.10.254.0/24` via gw-nu-dmz02 (10.10.81.1), alles andere via gw-nu-wan01

## Zu aktualisierende Dateien

### 1. `infrastructure/hosts/gw-nu-wan01.md`

Aktuell nur Stub mit TODOs. Erweitern um:
- Netzwerk-Interfaces: igb0.811 (10.10.81.14, DMZ VLAN) hinzufügen
- VPN-Server dokumentieren: Admin-VPN (server6, 10.250.0.0/24, Port 1300), Client-VPN (server8, 10.250.1.0/24)
- VPN-Firewall-Regeln: Admin hat `to any`, Client hat spezifische Ziel-Regeln
- Client-VPN Firewall-Regel: `10.250.1.0/24 → 10.10.81.4:443` (Easy Rule, bereits umgesetzt)
- OpenVPN Client-VPN: 10.10.81.4 in "IPv4 Local Networks" ergänzt (bereits umgesetzt)
- Abhängigkeiten aktualisieren: srv-revproxy01 hängt von gw-nu-wan01 ab (Default-GW)
- DNS-Push: 10.10.10.111, 10.10.10.222, domain vinos.local

### 2. `infrastructure/hosts/srv-revproxy01.md`

Ergänzen:
- Routing-Tabelle: Default-GW ist 10.10.81.14 (gw-nu-wan01), nicht gw-nu-dmz02
- Abhängigkeiten: gw-nu-wan01 als Default-Gateway hinzufügen
- Firewall-Abschnitt: WuV_VPN_Admin (10.250.0.0/24) fehlt in der Liste der erlaubten Netze

### 3. `infrastructure/dependencies.md`

n8n-Mermaid-Diagramm aktualisieren:
- gw-nu-wan01 als VPN-Gateway hinzufügen (zwischen VPN-Client und srv-revproxy01)
- VPN-Client-Pfad: VPN → gw-nu-wan01 → DMZ → srv-revproxy01
- Impact-Tabelle: gw-nu-wan01-Ausfall = VPN-Clients erreichen DMZ nicht
- Referenz-Tabelle: gw-nu-wan01 hinzufügen

### 4. `n8n/README.md`

VPN-Voraussetzungen (Zeile 191-198) erweitern:
- 4. Voraussetzung: Firewall auf gw-nu-wan01 erlaubt VPN → DMZ:443 — Status: ✅ Erledigt (Admin: `to any`, Client: Easy Rule 10.250.1.0/24 → 10.10.81.4:443)
- 5. Voraussetzung: 10.10.81.4 in OpenVPN "IPv4 Local Networks" — Status: ✅ Erledigt (beide VPN-Server)
- Abhängigkeiten-Tabelle: gw-nu-wan01 hinzufügen (VPN-Gateway, Default-GW für srv-revproxy01)

## Reihenfolge

1. gw-nu-wan01.md aktualisieren (Kernfund)
2. srv-revproxy01.md aktualisieren (Routing + Abhängigkeit)
3. dependencies.md aktualisieren (Diagramm + Impact)
4. n8n README.md aktualisieren (VPN-Voraussetzungen)
5. Alles committen und pushen (n8n-Repo + infrastructure-Repo)
6. Pflicht-Checkliste durchlaufen (Verifikation, Settings-Sync, Kanbanize)

## Verifikation

- Alle Markdown-Links prüfen (relative Pfade zwischen hosts/)
- Mermaid-Diagramm Knoten gegen Referenz-Tabelle abgleichen
- IPs/Netze konsistent zwischen README, srv-revproxy01.md und dependencies.md
- Zweiter Review-Pass gemäß CLAUDE.md