Netzwerk-Architektur¶

Hetzner MAC Filtering¶

Kritisch: Bridge MAC

Die Bridge br0 MUSS die MAC-Adresse der physischen Schnittstelle verwenden: 10:7c:61:4f:28:62. Hetzner filtert allen Traffic nach MAC — falsche MAC = kompletter Verbindungsverlust.

Netzwerk-Fakten¶

Parameter	Wert
Host IP	`46.4.96.105/32` (Single IP)
Gateway	`46.4.96.129` (on-link, anderes Subnetz!)
IPv6	`2a01:4f8:140:829d::/64`
Host IPv6	`::2`
VM IPv6	`::3` bis `::9`
Physical IF	`enp4s0` (enslaved to br0)
Bridge	`br0` (traegt die IP)
VM IPs	`46.4.96.150` (ansitel PBX)

Netzwerk-Topologie¶

enp4s0 (kein IP!) ──enslaved──> br0 (46.4.96.105/32)
                                  ├── Docker (ai-network 172.23.0.0/16)
                                  │     └── Traefik :80/:443
                                  └── KVM VMs
                                        └── ansitel (46.4.96.150/32, routed)

Safety-Tools¶

# Netplan mit automatischem Rollback testen
sudo netplan-safe-apply.sh 120

# Neue Config testen (Rollback nach Timeout)
sudo netplan-test-config.sh /path/to/config.yaml

# Syntax-Check
sudo netplan generate

Niemals

netplan apply direkt verwenden — immer netplan-safe-apply.sh
IP-Config auf enp4s0 setzen (nur auf br0!)
Bridge MAC aendern

VM-Routing¶

VMs erhalten geroutete /32 Public IPs (kein NAT):

vmctl list          # Alle VMs anzeigen
vmctl start NAME    # VM starten
vmctl stop NAME     # Graceful shutdown
vmctl create TPL NAME  # VM aus Template erstellen

Routing-Dienst: systemd Service vm-ip-routing.service setzt Proxy-ARP + Routes.