============================================

🌳 DAS KRÜMEL-WALD-NETZ

============================================

Ein Netzwerk, das mit Kindern wächst

============================================

🌱 KONZEPT: Vom Krümel zur Wurzel

Level 1: KRÜMEL (Kids, Anfänger)
  └── RasPi + Debian
      └── Lernen: Shell, Python, erste Services

Level 2: BÄUME (Intermediär)
  └── Debian Server
      └── Services: Web, DB, Git

Level 3: WURZELN (Advanced)
  └── Gentoo/FreeBSD
      └── Volle Kontrolle, Kernel, Autarkie

🌐 NETZWERK-TOPOLOGIE (#krabbenschutz & CrumbVPN)

Die Welt da draußen bleibt draußen. Alles atmet im CrumbVPN-Mesh.

┌─────────────────────────────────────────────────────────┐
│                    INTERNET                              │
└────────────────────┬────────────────────────────────────┘
                     │ (Nur Port 80/443 für Webproxy, oder 51820 für VPN)
              ┌──────▼──────┐
              │ Strato VPS  │ (Tänzelnder Wächter im IDLE)
              │ (Router)    │ (Leitet in den #krabbenschutz-Tunnel)
              └──────┬──────┘
                     │
          [ ☁️ CrumbVPN WireGuard Mesh ☁️ ]
                     │
         ┌───────────┼───────────┐
         │                       │
    ┌────▼────┐           ┌─────▼─────┐
    │ ESP32/  │           │  RasPi    │  (Kids)
    │ WLED    │           │  Krümel   │
    └────┬────┘           └─────┬─────┘
         │                      │
         └──────────┬───────────┘
                    │ (Über Tunnel 10.x.x.x)
              ┌─────▼──────┐
              │  RZ Debian │  (Postgres, Go-API, Auth)
              │  Server    │
              └─────┬──────┘
                    │
         ┌──────────┼──────────┐
         │          │          │
    ┌────▼────┐ ┌──▼───┐ ┌────▼────┐
    │ Gitea   │ │Post- │ │ Ollama  │ (Local First AI + DB)
    │ (3000)  │ │gres  │ │ (11434) │
    └─────────┘ └──────┘ └─────────┘

🔒 SICHERHEITS-ZONEN

Zone 1: Kids/Learning (RasPi)

• Netz: 192.168.1.100-199
• Zugriff: Limitiert, gefilterter Internetzugang
• Rechte: Sudo erlaubt (zum Lernen!)
• Backup: Täglich Snapshots

Zone 2: Production (Debian Server)

• Netz: 192.168.1.10
• Zugriff: Nur via SSH-Key
• Rechte: Strikte Separation
• Backup: Mehrfach täglich

Zone 3: Services (localhost only)

• Qdrant: 127.0.0.1:6333 (nur lokal)
• Ollama: 127.0.0.1:11434 (nur lokal)
• MariaDB: 127.0.0.1:3306 (nur lokal)

Zone 4: Extern (Internet-facing)

• Nginx: Port 80/443 (Reverse Proxy)
• Gitea: Port 3000 (via Nginx Proxy)
• API: Via Token Auth

🛡️ #KRABBENSCHUTZ (Firewall Rules)

Wir schützen den Wald. Nicht indem wir Kinder einsperren, sondern indem wir die Türen nach draußen schließen.

RasPi / ESP32 (Krümel)

# Eingehend: Nur SSH/Status von Mesh-IPs
ufw allow from 10.0.0.0/24 to any port 22

# Ausgehend: Nur DNS und Mesh-Traffc
ufw allow out 53/udp
ufw allow out to 10.0.0.0/24

ufw default deny incoming
ufw default deny outgoing

RZ Debian Server

# Eingehend: WireGuard Port (UDP)
ufw allow 51820/udp

# Innerhalb des Tunnels (wg0)
ufw allow in on wg0 from 10.0.0.0/24
ufw allow out on wg0 to 10.0.0.0/24

# Alle kritischen Services (Postgres, Ollama, API) lauschen NUR auf 10.x.x.x
# Zero public exposure!
ufw default deny incoming
ufw default allow outgoing

🌉 Das CrumbVPN (WireGuard)

Der Lebensnerv des Waldes. Ein dezentrales Mesh.

[ESP32 WLED] <--Tunnelt--> [Strato VPS] <--Tunnelt--> [RZ API & Postgres]

Config: /etc/wireguard/wg0.conf (RZ Server)

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVATE_KEY>

# Der Strato Router
[Peer]
PublicKey = <STRATO_PUBLIC_KEY>
AllowedIPs = 10.0.0.2/32

# Ein Krümel-ESP32
[Peer]
PublicKey = <ESP32_PUBLIC_KEY>
AllowedIPs = 10.0.0.3/32

📊 DNS & SERVICE DISCOVERY

Lokales DNS (dnsmasq auf Router)

# /etc/dnsmasq.conf
address=/kruemel.local/192.168.1.10
address=/git.kruemel.local/192.168.1.10
address=/api.kruemel.local/192.168.1.10

Zugriff für Kids:

# RasPi kann direkt zugreifen:
ssh user@kruemel.local
git clone http://git.kruemel.local/repo.git
curl http://api.kruemel.local/endpoint

🔄 DATEN-FLOW

┌─────────┐
│ RasPi   │ (Kids programmieren)
│ (Dev)   │
└────┬────┘
     │ git push
     ▼
┌─────────┐
│ Gitea   │ (Code-Repository)
└────┬────┘
     │ CI/CD Hook
     ▼
┌─────────┐
│ Server  │ (Tests, Build)
└────┬────┘
     │ Deploy
     ▼
┌─────────┐
│ Nginx   │ (Production)
└─────────┘

📖 LERNPFAD FÜR KIDS

Woche 1: "Mein erster Server"

• RasPi Setup
• SSH-Verbindung
• Erste Kommandos

Woche 2: "Mein erstes Programm"

• Python-Script schreiben
• Über SSH ausführen
• Logs anschauen

Woche 3: "Mein erster Webserver"

• Nginx installieren
• HTML-Datei erstellen
• Im Browser öffnen

Woche 4: "Mein erstes Git"

• Git lokal nutzen
• Zu Gitea pushen
• Anderen Code anschauen

Woche 5: "Meine erste API"

• Python FastAPI
• Ersten Endpoint
• Mit curl testen

🦉 EULEN-PRINZIPIEN

1. Sicherheit durch Transparenz
2. Kids sehen was passiert
3. Keine "Magic"-Boxen

4. Fehler sind Lernchancen

5. Wachstum durch Schichten

6. Jedes Level baut auf vorigem auf
7. Kein Sprung zu groß

8. Aber auch keine künstlichen Limits

9. Autarkie als Ziel

10. Eigene Infrastruktur
11. Keine Cloud-Abhängigkeit

12. Verstehen > Konsumieren

13. Gemeinschaft als Netz

14. Gitea = gemeinsames Lernen
15. Logs = gemeinsames Debuggen
16. Projekte = gemeinsames Bauen

🌳 WACHSTUMSPFAD

RasPi (Debian)
  └─> Verstehen wie Linux funktioniert
      └─> Server (Debian)
          └─> Verstehen wie Services laufen
              └─> Gentoo/FreeBSD
                  └─> Verstehen wie ALLES funktioniert

"Der Wald wächst, weil jeder Baum seine Wurzeln hat.
Die Krümel lernen, weil das Netz sie trägt."

🦉 WUHUUUU!