# VPN Routing Fix - Detaillierte Anleitung

## Problem best?tigt

Traefik sieht die ?ffentliche Client-IP (`89.246.96.244`) statt der VPN-IP (`10.8.0.7`). Der Traffic kommt **NICHT ?ber VPN**.

## Warum passiert das?

Deine WireGuard-Config hat:
```
[Peer]
AllowedIPs = 10.8.0.0/24
```

Das bedeutet: **Nur Traffic f?r das VPN-Netzwerk** (`10.8.0.0/24`) geht ?ber VPN. Alle anderen Anfragen gehen ?ber das normale Internet.

Wenn du `grafana.michaelschiemer.de` aufrufst:
1. DNS wird ?ber **?ffentliche DNS-Server** aufgel?st ? `94.16.110.151` (?ffentliche IP)
2. Browser sendet Anfrage an `94.16.110.151`
3. Traffic geht **direkt ?ber Internet**, nicht ?ber VPN
4. Traefik sieht deine ?ffentliche IP (`89.246.96.244`)
5. IP-Allowlist blockiert ? 403-Fehler

## L?sungen

### L?sung 1: DNS auf VPN-DNS setzen (EMPFOHLEN)

**Schritt 1: Pr?fe deine WireGuard-Config**
```
[Interface]
DNS = 10.8.0.1
```

**Schritt 2: WireGuard neu starten**
- Trenne und verbinde VPN neu

**Schritt 3: DNS-Test**
```bash
dig +short grafana.michaelschiemer.de
# Sollte zur?ckgeben: 10.8.0.1 (nicht 94.16.110.151!)
```

**Schritt 4: Browser testen**
- Cache leeren oder Inkognito-Modus
- `https://grafana.michaelschiemer.de` ?ffnen

### L?sung 2: AllowedIPs erweitern (WENIGER SICHER)

Wenn `AllowedIPs = 10.8.0.0/24` nicht ausreicht, kannst du tempor?r erweitern:

```
[Peer]
AllowedIPs = 10.8.0.0/24, 94.16.110.151/32
```

**WICHTIG:** Das routet dann ALLE Anfragen f?r `94.16.110.151` ?ber VPN. Das k?nnte andere Dienste beeinflussen.

### L?sung 3: Hosts-Datei verwenden (TEMPOR?R)

**Linux/Mac:**
```bash
echo "10.8.0.1 grafana.michaelschiemer.de" | sudo tee -a /etc/hosts
```

**Windows:**
```
# C:\Windows\System32\drivers\etc\hosts (als Administrator)
10.8.0.1 grafana.michaelschiemer.de
```

Dann wird `grafana.michaelschiemer.de` direkt auf die VPN-IP aufgel?st.

### L?sung 4: Tempor?re IP-Erlaubnis (F?R TESTS)

**ACHTUNG:** Dies ist nur f?r Tests! Ich habe deine ?ffentliche IP (`89.246.96.244`) tempor?r zur Allowlist hinzugef?gt. Das sollte jetzt funktionieren, ist aber **weniger sicher**.

**Nach dem Test:** Diese IP muss wieder entfernt werden, sobald VPN-Routing funktioniert!

## Pr?fen ob es funktioniert

Nach dem Fix solltest du:
1. `https://grafana.michaelschiemer.de` ?ffnen k?nnen (Login-Seite statt 403)
2. In den Traefik-Logs sollte `ClientHost: 10.8.0.7` stehen (VPN-IP)

## Server-Log pr?fen

```bash
ssh deploy@94.16.110.151
cd ~/deployment/stacks/traefik
tail -5 logs/access.log | grep grafana
```

**Erwartet:** `"ClientHost":"10.8.0.7"` (VPN-IP)
**Wenn es noch nicht funktioniert:** `"ClientHost":"89.246.96.244"` (?ffentliche IP)

## N?chste Schritte

1. **JETZT:** Teste ob Grafana mit der tempor?ren IP-Erlaubnis funktioniert
2. **DANN:** Fixe VPN-Routing (DNS auf 10.8.0.1 oder Hosts-Datei)
3. **SP?TER:** Entferne die tempor?re IP-Erlaubnis wieder