Taegliches Backup
restic sichert taeglich um 03:00 UTC von OC1 auf WEB1 ueber SFTP durch den WireGuard-Tunnel. AES-256-Verschluesselung. SQLite wird vor dem Backup sauber exportiert. Aufbewahrung: 7 Tage, 4 Wochen, 6 Monate.
Infrastruktur und Betrieb
Vier Maschinen. Klar getrennte Rollen.
Das Setup kombiniert IONOS-Server in deutschen Rechenzentren mit einem lokalen KI-Server und einem WireGuard-basierten Netz ohne externen Dienst.
Maschinenrollen
OC1, WEB1, RP1 und GX10.
| System | Standort | Hauptrolle | Wichtigste Dienste | WG-IP |
|---|---|---|---|---|
| OC1 | IONOS DE (VPS M, 4C/8GB) | OpenClaw-Plattform, Gateway | OpenClaw Gateway, Docker-Sandbox, Mail-Proxy | 10.8.0.3 |
| WEB1 | IONOS DE (VPS S) | Webserver, Git-Server | Caddy (HTTPS), Gitea (nur WireGuard), Webhook-Deploy | 10.8.0.4 |
| RP1 | IONOS DE (VPS) | WireGuard-Hub | WireGuard-Server, Reverse Proxy | 10.8.0.1 |
| GX10 | Buero / lokal (128 GB) | KI-Server, lokale Modelle | LiteLLM, vLLM, Whisper, Mattermost, Open WebUI | 10.8.0.2 |
Netzwerktopologie
Hub-and-Spoke ueber WireGuard.
Alle vier Maschinen kommunizieren ueber WireGuard — verschluesselt, ohne externen VPN-Dienst. RP1 ist der zentrale Hub. Von aussen ist nur OC1 erreichbar; Gitea und GX10 sind ausschliesslich intern zugaenglich.
- Kein Tailscale oder externer VPN-Dienst
- Gitea nur ueber WireGuard — nicht oeffentlich
- GX10-Dienste nur intern erreichbar
Betrieb und Redundanz
Backup, Sync und lokale Resilienz.
Syncthing ueber WireGuard
Datei-Synchronisation zwischen OC1 und MacBook direkt ueber das WireGuard-Netz — kein zentraler Server, kein externer Relay-Dienst. Alle Discovery-Dienste sind deaktiviert.
Modell-Fallback-Kette
Bei Ausfall von OpenAI springt Nemotron-Cascade-2 auf GX10 ein. Faellt auch GX10 aus, greift Anthropic Direct. Keine manuelle Umstellung noetig — die Kette ist vollautomatisch.