title: "Eltern, KI, KrĂźmel, Fragen und Versionen"
date: 2025-09-04
status: "v1.0"
audience: ["Eltern", "Crew", "Patrons"]
role: ["Eule", "Vektor"]
tags: ["crumbforest", "nullfeld", "sicherheit", "mqtt", "mikrotik", "lessons-learned", "transparenz"]
summary: "Was schiefging, was wir gelernt haben und wie wir ab jetzt sauber, sicher und ĂźberprĂźfbar arbeiten."
commitments:
- "Backup vor Change. Immer."
- "Ein Script, ein Name, ein Test."
- "Logs statt Vermutungen."
artifacts:
- "Router-Export (v6) + Backup"
- "Test-Thema: crumb/esp//heartbeat"
references:
- "ESP-Wald Playbook"
- "Baobab Rules"

WHY — Wozu dieses Dokument?

Wir halten fest, was passiert ist, was falsch war, und wie wir es ab jetzt richtig machen. Verständlich fßr Eltern, nutzbar fßr die Crew.

WHAT — Was ist passiert?

  • Wir wollten das ESP-Wald Netz stabilisieren (MQTT, WLAN, VLAN).
  • Statt zuerst sauber auf RouterOS v7 zu aktualisieren, haben wir zu lange an v6 gefixt – parallel mit ESPs, Broker, Node-RED, mehreren Laptops/OS.
  • Ergebnis: Konfig-Loop und Zeitverlust.

Wichtig: Das lief in einem abgetrennten Testnetz. Keine Gefährdung fßr Kinder oder Produktionssysteme.

HARM/RISK — Was NICHT passiert ist

  • Keine reale Infrastruktur betroffen.
  • Keine personenbezogenen Daten erfasst/verarbeitet.
  • Alle Tests im isolierten ESP-VLAN (Nullfeld).

RULES — Nullfeld-Kodex (ab sofort, ohne Ausnahme)

  1. Backup oder kein Change.
  2. Ein Script, ein Name, ein Test. (keine variierenden Bezeichner)
  3. Reihenfolge: Sichern → Aktualisieren → Testen → Freigeben.
  4. Logs statt Vermutungen.
  5. Keine neuen Baustellen, bevor die aktuelle grĂźn ist.
  6. Kinderzeit schlägt Techniktempo.

HOW — Minimalpfad ab jetzt

  1. Export & Backup des Routers erstellen.
  2. Upgrade auf RouterOS v7 (stable), dann Reboot.
  3. Ein RSC-Script fĂźr ESP-VLAN + WLAN + Firewall ausrollen (idempotent).
  4. Broker erreichbar? nc -zvw3 <broker> 1883 vom Router und vom Test-Client.
  5. Herzschlag testen: ESP publisht crumb/esp/<id>/heartbeat.
  6. Log prĂźfen, dann erst weitere Dienste (Node-RED, Grafana).

CHECKLIST — Sichtbarer Erfolg

  • [ ] RouterOS v7 läuft (print system resource, version)
  • [ ] VLAN50 (ESP-Wald) up, DHCP ok
  • [ ] SSID ESP-Wald (2,4 GHz, sicht- bar, WPA2-PSK)
  • [ ] Firewall: nur DNS/DHCP/MQTT erlaubt, Rest DROP
  • [ ] Broker: LISTEN 0.0.0.0:1883, Test mosquitto_pub/sub ok
  • [ ] MQTT-Herzschlag kommt regelmäßig an (Topic/Time belegt)

LOGS — Beleg, kein Bauchgefühl

Beispiel-Belege:
- mosquitto.log: New client connected … u'esp1'
- Mikrotik: /ip firewall filter print stats where comment~"ESP_WALD|BROKER|1883" zeigt >0 Packets
- Client: nc -zvw3 <broker> 1883 → “succeeded”

GLOSSAR — Eltern-Kurzfassung

  • Broker: Poststelle fĂźr Geräte-Nachrichten (MQTT).
  • Herzschlag: Mini-Nachricht alle X Sekunden – zeigt, dass Gerät, Netz & Rechte stimmen.
  • Nullfeld: unser geschĂźtzter Testbereich. Hier probieren wir aus, bevor irgendetwas “echt” wird.

PARENT HANDOFF — Textbaustein zum Weitergeben

Was war los? Ein Technik-Update hat Zeit gekostet, weil wir zu viele Dinge parallel änderten.
War das sicher? Ja. Alles lief im abgetrennten Testnetz.
Was lernen Kinder? Reihenfolge und Ruhe: Sichern – Aktualisieren – Testen – Freigeben.
Wie weiter? Wir arbeiten strikt nach dem Nullfeld-Kodex und zeigen Belege (Logs), keine Vermutungen.

NEXT — Nächste Schritte

  • v7-Upgrade und ein sauberes RSC-Script (idempotent)
  • MQTT-Herzschlag aller 30 s (Beleg im Log)
  • Erst danach: Node-RED “Hello-Flow” → Dashboard

CHANGELOG

  • v1.0 (2025-09-04): Erstfassung im neuen Format; Regeln & Minimalpfad festgelegt.