refactor: Angie → nginx + Unbound (DNS Forwarder + Cluster-Split-Horizon)

Reverse-Proxy von Angie (eigenes APT-Repo) auf nginx (Distro) umgestellt
— vereinfacht Bootstrap (kein angie.software-Repo mehr), reduziert
Offene-Punkte (arm64-Verfügbarkeit entfällt). Neuer Service Unbound
übernimmt zwei Rollen: Caching-Forwarder mit DNSSEC und Cluster-internes
Split-Horizon (Local-Zone eg.cluster, Peer-Adressen aus PG ha_nodes,
Reload via unbound-control). Architektur-Spec §7.5 dokumentiert beide
Rollen + Config-Schichtung.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

CLAUDE.md

@@ -57,8 +57,9 @@ ac_search_code(query="<stichworte>", project_id=8, session_name=$(printenv ARCHI
 | **UI** | React 19, TypeScript strict, Vite, Ant Design 6, TanStack Query 5 |
 | **DB** | PostgreSQL 16 (Distro-Paket), goose-Migrations in `migrations/` |
 | **State/HA** | KeyDB Active-Active (Redis-kompatibel) |
-| **Proxy/LB** | HAProxy (Distro), Angie (eigenes APT-Repo) |
+| **Proxy/LB** | HAProxy (Distro), nginx (Distro) |
 | **VPN** | WireGuard (Kernel-Modul ab 5.6, `wireguard-tools`) |
+| **DNS** | Unbound (Distro) — Forwarder+Cache mit DNSSEC, Cluster-internes Split-Horizon |
 | **FW** | nftables (Distro) |
 | **Forward-Proxy** | Squid (Distro) |
 | **TLS** | certbot + webroot-Plugin |
@@ -87,7 +88,7 @@ ac_search_code(query="<stichworte>", project_id=8, session_name=$(printenv ARCHI
 | `edgeguard-scheduler` | Cron-Jobs (ACME-Renew, Backup, Health) | — | `edgeguard` |
 | `edgeguard-ctl` | CLI: `initdb migrate cluster-join promote dump-config` | — | root/edgeguard |
 
-Angie terminiert TLS auf `:443` und proxied an `127.0.0.1:9443`.
+nginx terminiert TLS auf `:443` und proxied an `127.0.0.1:9443`.
 
 ---
 
@@ -111,7 +112,7 @@ cd management-ui && bun install && bun run build
 
 ```bash
 # Abhängigkeiten installieren
-sudo apt-get install -y postgresql-16 haproxy angie wireguard-tools squid nftables certbot
+sudo apt-get install -y postgresql-16 haproxy nginx wireguard-tools squid unbound nftables certbot
 
 # API starten (ohne systemd, für Entwicklung)
 go run ./cmd/edgeguard-api/
@@ -135,9 +136,10 @@ cd management-ui && bun run dev
 │   ├── handlers/              # HTTP-Handler (REST)
 │   ├── services/              # Business-Logik
 │   ├── haproxy/               # Config-Generator
-│   ├── angie/                 # Config-Generator
+│   ├── nginx/                 # Config-Generator
 │   ├── squid/                 # Config-Generator
 │   ├── wireguard/             # Config-Generator
+│   ├── unbound/               # Config-Generator (Forwarder + Cluster-DNS)
 │   ├── firewall/              # nftables-Generator
 │   ├── cluster/               # Join/Promote/Peer-Discovery
 │   ├── proxy/                 # Write-Proxy → Cluster-Primary
@@ -149,8 +151,9 @@ cd management-ui && bun run dev
 ├── deploy/
 │   ├── systemd/               # *.service, *.target, *.timer
 │   ├── haproxy/               # haproxy.cfg.tpl
-│   ├── angie/                 # vhost.conf.tpl, sni-map.tpl
+│   ├── nginx/                 # vhost.conf.tpl, sni-map.tpl
 │   ├── squid/                 # squid.conf.tpl
+│   ├── unbound/               # unbound.conf.tpl
 │   └── nftables/              # ruleset.nft.tpl
 ├── scripts/
 │   ├── apt-repo/              # build-package.sh, publish.sh

README.md

@@ -14,7 +14,7 @@ curl -fsSL https://get.edgeguard.netcell-it.de | sudo bash
 
 ## Architektur in Kürze
 
-- **Daten-Services (v1):** HAProxy, Angie, Squid, WireGuard, nftables — alle nativ via APT, Configs aus PostgreSQL generiert.
+- **Daten-Services (v1):** HAProxy, nginx, Squid, WireGuard, Unbound, nftables — alle nativ via APT, Configs aus PostgreSQL generiert.
 - **Control-Plane:** `edgeguard-api` (Go/Gin), `management-ui` (React/AntD), PostgreSQL 16, KeyDB Active-Active.
 - **Cluster:** N symmetrische Peers, KeyDB AA für Shared State, PG Streaming Replication, Floating-IP des Hosters statt VRRP.
 - **Auslieferung:** signierte `.deb`, Update via `apt`. Update-Trigger via UI/API.

agent.md

@@ -19,7 +19,7 @@ Der Architect Center Orchestrator dispatcht mehrere Claude Code Agenten, jeder s
 |-------|-------|-----------------|
 | **DB-Architect** | Datenbankschema, goose-Migrations, GORM-Models | mail-gateway models/ |
 | **API-Engineer** | Gin-Router, alle Handler, Middleware (Auth/JWT/RBAC) | mail-gateway handlers/ |
-| **Config-Generator** | HAProxy, Angie, Squid, WireGuard, nftables Templates + Renderer | mail-gateway config/ |
+| **Config-Generator** | HAProxy, nginx, Squid, WireGuard, Unbound, nftables Templates + Renderer | mail-gateway config/ |
 | **Cluster-Engineer** | KeyDB AA, PG Streaming Replication, Join/Promote, Write-Proxy | mail-gateway cluster/ |
 | **Scheduler-Engineer** | ACME-Renewal, Backup, Health-Aggregation, License-Heartbeat | mail-gateway scheduler |
 | **CLI-Engineer** | edgeguard-ctl: initdb, migrate, cluster-join, promote, dump-config | mail-gateway cmd/nmg-ctl/ |
@@ -38,7 +38,7 @@ Phase 1 (parallel):
 
 Phase 2 (parallel, braucht Phase 1):
   API-Engineer       → internal/handlers/ + cmd/edgeguard-api/
-  Config-Generator   → internal/{haproxy,angie,squid,wireguard,firewall}/
+  Config-Generator   → internal/{haproxy,nginx,squid,wireguard,unbound,firewall}/
   CLI-Engineer       → internal/services/ + cmd/edgeguard-ctl/
 
 Phase 3 (parallel, braucht Phase 2):

docs/architecture.md

@@ -8,7 +8,7 @@ EdgeGuard ist die native Neufassung des bisherigen Docker-basierten Reverse-Prox
 
 ## 0. Leitplanken (nicht verhandelbar)
 
-- **Kein Docker.** Alle Dienste nativ unter `systemd`, installiert via `apt`. Distro-Pakete für Drittsoftware (HAProxy, Angie, Squid, WireGuard, PostgreSQL, KeyDB, certbot), eigene `.deb`-Pakete für EdgeGuard-Code (api, ui, ctl).
+- **Kein Docker.** Alle Dienste nativ unter `systemd`, installiert via `apt`. Distro-Pakete für Drittsoftware (HAProxy, nginx, Squid, WireGuard, Unbound, PostgreSQL, KeyDB, certbot), eigene `.deb`-Pakete für EdgeGuard-Code (api, ui, ctl).
 - **Plattform-Matrix:** Debian 13 (Trixie) **und** Ubuntu 24.04 LTS (Noble Numbat), je amd64 + arm64. Alle vier Targets gleichberechtigt.
 - **Auslieferung:** signierte `.deb`-Pakete + Meta-Paket via APT. Bootstrap ist der enconf-analoge curl-Onliner `curl -fsSL https://get.edgeguard.netcell-it.de | sudo bash`.
 - **HA nativ als Cluster:** N symmetrische Peers, **KeyDB Active-Active** für Shared State + **PostgreSQL Streaming Replication** (single writer, transparenter API-Write-Proxy) + **Floating-IP des Hosters** für HTTP/HTTPS-Ingress (nicht VRRP, nicht DNS-RR).
@@ -24,9 +24,10 @@ EdgeGuard ist die native Neufassung des bisherigen Docker-basierten Reverse-Prox
 | Service | Rolle | Distro-Paket | Config-Quelle |
 |---|---|---|---|
 | **HAProxy** | Public-Ingress (80/443), interner LB (8081), TLS-PassThrough | `haproxy` (Debian/Ubuntu) | aus PG generiert, `systemctl reload haproxy` |
-| **Angie** | Reverse-Proxy, vHost-Routing, ACME-Webroot | eigenes APT-Repo (`angie`) | aus PG generiert, `systemctl reload angie` |
+| **nginx** | Reverse-Proxy, vHost-Routing, ACME-Webroot | `nginx` (Debian/Ubuntu) | aus PG generiert, `systemctl reload nginx` |
 | **Squid** | Forward-Proxy mit ACL/Auth | `squid` | aus PG generiert, `systemctl reload squid` |
 | **WireGuard** | Site-to-Site- + Road-Warrior-VPN | `wireguard-tools` (Kernel-Modul ab Kernel 5.6) | aus PG generiert, `wg syncconf` |
+| **Unbound** | Caching-Forwarder mit DNSSEC + Cluster-internes Split-Horizon (siehe §7.5) | `unbound` (Debian/Ubuntu) | aus PG generiert, `unbound-control reload` |
 | **nftables** | Firewall (Input + Forward + NAT) | `nftables` | aus PG generiert, `nft -f /etc/nftables.conf` |
 
 **Control-Plane:**
@@ -36,7 +37,7 @@ EdgeGuard ist die native Neufassung des bisherigen Docker-basierten Reverse-Prox
 | `edgeguard-api` | Go/Gin REST-API, bindet `127.0.0.1:9443`, Reads aus lokaler PG, Writes an Cluster-Primary |
 | `edgeguard-scheduler` | Cron-artige Jobs (ACME-Renewal-Hook, Backup, Health-Aggregation, License-Heartbeat) |
 | `edgeguard-ctl` | CLI für Setup/Wartung (`initdb`, `migrate`, `cluster-join`, `promote`, `dump-config`) |
-| `management-ui` | React 19 + AntD 6 + Vite, statisch unter `/usr/share/edgeguard/ui/`, Angie liefert aus |
+| `management-ui` | React 19 + AntD 6 + Vite, statisch unter `/usr/share/edgeguard/ui/`, nginx liefert aus |
 | **PostgreSQL 16** | Single Source of Truth — Domains, Backends, Routing-Rules, ACLs, Peers, etc. |
 | **KeyDB** (Redis-kompatibel) | Active-Active-Replication, Cluster-State, Locks, Rate-Counter, Pub/Sub für Config-Reload |
 
@@ -55,9 +56,10 @@ EdgeGuard ist die native Neufassung des bisherigen Docker-basierten Reverse-Prox
 │   ├── handlers/                  # HTTP-Handler (REST)
 │   ├── services/                  # Business-Logik (config-render, health-check, cluster-sync)
 │   ├── haproxy/                   # HAProxy-Config-Generator
-│   ├── angie/                     # Angie-Config-Generator (vHosts, Upstreams, ACME)
+│   ├── nginx/                     # nginx-Config-Generator (vHosts, Upstreams, ACME)
 │   ├── squid/                     # Squid-Config-Generator (squid.conf + squid.d/*)
 │   ├── wireguard/                 # WireGuard-Config-Generator (wg-quick + wg syncconf)
+│   ├── unbound/                   # Unbound-Config-Generator (Forwarder + Cluster-DNS)
 │   ├── firewall/                  # nftables-Ruleset-Generator
 │   ├── cluster/                   # Join/Promote/Peer-Discovery, KeyDB-Replication-Setup, pg_basebackup
 │   ├── proxy/                     # API-Write-Proxy-Middleware (Replica → Primary), mTLS-Calls
@@ -72,8 +74,9 @@ EdgeGuard ist die native Neufassung des bisherigen Docker-basierten Reverse-Prox
 ├── deploy/
 │   ├── systemd/                   # *.service, *.target, *.timer
 │   ├── haproxy/                   # haproxy.cfg.tpl
-│   ├── angie/                     # nginx.conf.tpl, sni-map.tpl
+│   ├── nginx/                     # nginx.conf.tpl, sni-map.tpl
 │   ├── squid/                     # squid.conf.tpl
+│   ├── unbound/                   # unbound.conf.tpl
 │   └── nftables/                  # ruleset.nft.tpl
 ├── scripts/
 │   ├── apt-repo/                  # build-package.sh, publish.sh, setup-repo.sh
@@ -97,16 +100,14 @@ Drei Pakete + Meta — analog nmg, kein WAF-Paket weil kein WAF in v1.
 
 | Paket | Arch | Inhalt | Depends |
 |---|---|---|---|
-| `edgeguard-api` | amd64, arm64 | `/usr/bin/edgeguard-{api,scheduler,ctl}`, Unit-Files, Migrations, Default-Configs | `postgresql-16`, `keydb-server`, `angie`, `haproxy`, `squid`, `wireguard-tools`, `nftables`, `certbot` |
-| `edgeguard-ui` | all | `/usr/share/edgeguard/ui/` (statische Build-Artefakte), Angie-Site | `edgeguard-api (= ${binary:Version})`, `angie` |
+| `edgeguard-api` | amd64, arm64 | `/usr/bin/edgeguard-{api,scheduler,ctl}`, Unit-Files, Migrations, Default-Configs | `postgresql-16`, `keydb-server`, `nginx`, `haproxy`, `squid`, `wireguard-tools`, `unbound`, `nftables`, `certbot` |
+| `edgeguard-ui` | all | `/usr/share/edgeguard/ui/` (statische Build-Artefakte), nginx-Site | `edgeguard-api (= ${binary:Version})`, `nginx` |
 | `edgeguard-meta` | all | keine Dateien, nur `Depends` | `edgeguard-api`, `edgeguard-ui` |
 
 Pro Release: 1 arch-spezifisch × 2 Dists × 2 Arches = 4 `.deb` + 2 arch-agnostische × 2 Dists = 4 `.deb` → **8 Artefakte je Release**.
 
 **KeyDB-Herkunft:** KeyDB ist weder in `trixie` noch `noble` in den offiziellen Repos. Wir bauen es aus Source (amd64 + arm64), veröffentlichen es parallel im eigenen APT-Repo. `edgeguard-api` `Depends: keydb-server` löst aus unserem Repo aus.
 
-**Angie-Herkunft:** Eigenes APT-Repo bei `angie.software` — `edgeguard-api` `Depends: angie`. Im `install.sh` wird das Angie-Repo zusätzlich zu unserem hinzugefügt.
-
 **Build-Werkzeug:** **direkter `dpkg-deb`-Build** analog WebPanel/EdgeGuardOS-Pattern. **Nicht** `dh_make`/`debhelper`, **nicht** `fpm`. Konsistenz mit existierendem Workflow.
 
 **postinst (`edgeguard-api`):**
@@ -128,9 +129,10 @@ Pro Release: 1 arch-spezifisch × 2 Dists × 2 Arches = 4 `.deb` + 2 arch-agnost
 ├── edgeguard.yaml             # Hauptconfig (conffile)
 ├── api.env                    # API-Secrets (mode 0600, edgeguard:edgeguard)
 ├── haproxy/                   # haproxy.cfg-Fragmente (von edgeguard-api generiert)
-├── angie/                     # vHosts + sni-map (generiert)
+├── nginx/                     # vHosts + sni-map (generiert)
 ├── squid/                     # squid.conf-Fragmente
 ├── wireguard/                 # wg0.conf etc. (generiert)
+├── unbound/                   # unbound.conf + cluster-zone.conf (generiert)
 ├── nftables.d/                # Ruleset-Fragmente
 └── tls/                       # ACME-verwaltete Zertifikate (0750, edgeguard:edgeguard)
 
@@ -152,7 +154,7 @@ Pro Release: 1 arch-spezifisch × 2 Dists × 2 Arches = 4 `.deb` + 2 arch-agnost
 
 /usr/share/edgeguard/
 ├── ui/                        # statische React-Build-Artefakte
-└── templates/                 # Config-Templates für haproxy/angie/squid/wireguard/nftables
+└── templates/                 # Config-Templates für haproxy/nginx/squid/wireguard/unbound/nftables
 ```
 
 Entspricht FHS — keine Überraschungen für Admins, Lintian-clean.
@@ -184,9 +186,9 @@ SystemCallFilter=@system-service
 ReadWritePaths=/var/lib/edgeguard /var/log/edgeguard /etc/edgeguard
 ```
 
-Drittsoftware (HAProxy, Angie, Squid, WireGuard via `wg-quick@.service`, nftables) läuft als **Distro-Units**. EdgeGuard generiert deren Config + signalisiert Reload, übernimmt aber die Service-Verwaltung **nicht**.
+Drittsoftware (HAProxy, nginx, Squid, WireGuard via `wg-quick@.service`, Unbound, nftables) läuft als **Distro-Units**. EdgeGuard generiert deren Config + signalisiert Reload, übernimmt aber die Service-Verwaltung **nicht**.
 
-API bindet auf `127.0.0.1:9443` (nicht öffentlich). Angie terminiert TLS auf `:443` und proxied an die API.
+API bindet auf `127.0.0.1:9443` (nicht öffentlich). nginx terminiert TLS auf `:443` und proxied an die API.
 
 ---
 
@@ -218,6 +220,40 @@ KeyDB hört nur auf `127.0.0.1:6379` für lokale Clients und `<node-ip>:16379` (
 
 ---
 
+## 7.5 Unbound — DNS Forwarder + Cluster-DNS
+
+Unbound erfüllt zwei Rollen, beide aus PG generiert:
+
+### Rolle 1 — Caching-Forwarder mit DNSSEC
+
+- Forwardet rekursive Queries an Upstream-Resolver (default `1.1.1.1`, `9.9.9.9`; per UI/PG konfigurierbar).
+- **DNSSEC-Validation aktiv** (`auto-trust-anchor-file`).
+- Lokaler Cache (TTL nach Upstream-Antwort).
+- Listen: `127.0.0.1:53` für die EdgeGuard-Box selbst und `<node-internal-ip>:53` für VPN- und LAN-Clients (über nftables-ACL gefiltert).
+- Genutzt von `edgeguard-api`, `edgeguard-scheduler` (License-Heartbeat, ACME), Squid (für Forward-Proxy-Resolutions), HAProxy/nginx (Backend-Health-Checks).
+
+### Rolle 2 — Cluster-internes Split-Horizon
+
+- **Local-Zone** `eg.cluster.` enthält A/AAAA-Records aller Cluster-Peers (Node-Hostnamen aus PG `ha_nodes`).
+- Beispiel: `node1.eg.cluster → 10.42.0.11`, `node2.eg.cluster → 10.42.0.12`.
+- Wird bei jedem Node-Join/-Leave aus PG regeneriert + via `edgeguard:config-changed` Pub/Sub auf allen Peers neu geladen (`unbound-control reload`).
+- Cluster-interner Traffic (PG-Replication, KeyDB-Replication, mTLS-API-Calls, Cert-Push) löst Peer-Adressen ausschließlich über diese Zone auf — kein DNS-Roundtrip ins öffentliche Internet, keine `/etc/hosts`-Synchronisation.
+- `<node-name>.eg.cluster` ist **nicht extern erreichbar** (nur über Unbound der Cluster-Peers).
+
+### Config-Schichten
+
+`/etc/edgeguard/unbound/unbound.conf` ist Distro-Konfig-Datei. Generator schreibt drei Includes:
+
+```
+# /etc/edgeguard/unbound/forwarders.conf  — Upstream-Resolver
+# /etc/edgeguard/unbound/cluster-zone.conf — Local-Zone eg.cluster
+# /etc/edgeguard/unbound/access.conf      — access-control: pro CIDR
+```
+
+Reload via `unbound-control reload` (kein Restart, keine Cache-Invalidierung außer für die geänderte Zone — `unbound-control auth_zone_reload eg.cluster`).
+
+---
+
 ## 8. Cluster-Topologie & HA pro Service
 
 **N symmetrische Peers** (1 … N Nodes, jeder vollwertig). Keine VRRP, keine Master/Backup-Rollen für Daten-Services. Public-IP: **Floating-IP des Hosters** (siehe §9).
@@ -225,9 +261,10 @@ KeyDB hört nur auf `127.0.0.1:6379` für lokale Clients und `<node-ip>:16379` (
 | Service | HA-Strategie |
 |---|---|
 | **HAProxy** | stateless, pro Node identisch. Floating-IP zeigt zum aktuellen aktiven Node; bei Node-Ausfall API-Call zum Hoster (oder manueller Switch) reicht. |
-| **Angie** | stateless, pro Node identisch. ACME-Issue nur auf License-Leader (KeyDB-Lock); Zerts werden via PG/mTLS an alle verteilt. |
+| **nginx** | stateless, pro Node identisch. ACME-Issue nur auf License-Leader (KeyDB-Lock); Zerts werden via PG/mTLS an alle verteilt. |
 | **Squid** | stateless (Cache lokal, kein Sync nötig). Pro Node identische ACL-Config. |
 | **WireGuard** | siehe §8.1 |
+| **Unbound** | stateless (Cache lokal). Pro Node identische Forwarder-Config + identische Cluster-internen Local-Zones (siehe §7.5). |
 | **nftables** | pro Node identisch, Ruleset aus PG generiert. `crowdsec_blocklist`/`threat_intel_blocklist`-Sets entfallen in v1 (kein CrowdSec). |
 | **edgeguard-api** | pro Node, Reads lokal, Writes via Proxy zu Primary. |
 | **edgeguard-ui** | statisch, pro Node identisch. |
@@ -246,7 +283,7 @@ Drei Optionen, für v1 wählen wir **Option A**:
 
 ### 8.2 Manual Promote (PG-Primary-Failover)
 
-1:1 nmg-Pattern (siehe `mail-gateway/docs/architecture.md` §6.2). Bei Ausfall des Primary antworten Config-Writes mit `503 + actionable Error`. Admin promotet via UI/CLI. Datenebene (HAProxy/Angie/Squid/WireGuard) läuft unbeeinträchtigt weiter, weil jeder Node eine lokale PG-Replica hat.
+1:1 nmg-Pattern (siehe `mail-gateway/docs/architecture.md` §6.2). Bei Ausfall des Primary antworten Config-Writes mit `503 + actionable Error`. Admin promotet via UI/CLI. Datenebene (HAProxy/nginx/Squid/WireGuard/Unbound) läuft unbeeinträchtigt weiter, weil jeder Node eine lokale PG-Replica hat.
 
 ### 8.3 License-Leader-Election
 
@@ -284,8 +321,7 @@ Schritte (idempotent, analog `netcell-webpanel/install.sh`):
 3. **Base-Deps:** `curl gnupg ca-certificates apt-transport-https`.
 4. **APT-Keyrings:**
    - `https://apt.netcell-it.de/edgeguard/repository.key` → `/etc/apt/keyrings/netcell-edgeguard.gpg`
-   - Angie-Repo-Key (für `angie`-Paket)
-5. **APT-Sources:** `/etc/apt/sources.list.d/netcell-edgeguard.list` + Angie-List.
+5. **APT-Sources:** `/etc/apt/sources.list.d/netcell-edgeguard.list`.
 6. **Install:** `apt-get install -y edgeguard` (Meta-Paket).
 7. **Auto-Security-Updates:** `unattended-upgrades` + `apt-listchanges` (nach enconf-Muster).
 8. **Setup-Modus:** `edgeguard-api` läuft im Setup-Modus bis Admin-User existiert. UI leitet alle Anfragen auf `/setup` um. Wizard: Admin-Account, FQDN, ACME-Email, Lizenz oder Trial.
@@ -328,9 +364,9 @@ Build-/Release-Scripts identisch zu `mail-gateway/scripts/apt-repo/`.
 
 ### 12.2 ACME
 
-- **certbot** (Distro-Paket) mit `--webroot`-Plugin für Angie-vHosts.
+- **certbot** (Distro-Paket) mit `--webroot`-Plugin für nginx-vHosts.
 - **Lock vor Issue:** `acme:lock:<domain>` in KeyDB verhindert Parallel-Issue auf zwei Nodes.
-- **Deploy-Hook:** schreibt Sentinel-Datei → `edgeguard-cert-deploy.path`-Unit triggert Angie-/HAProxy-Reload.
+- **Deploy-Hook:** schreibt Sentinel-Datei → `edgeguard-cert-deploy.path`-Unit triggert nginx-/HAProxy-Reload.
 - **Cert-Verteilung im Cluster:** Issuing-Node pushed via mTLS-API an alle Peers, Zerts landen in `/etc/edgeguard/tls/`.
 
 ---
@@ -379,6 +415,5 @@ Der alte `proxy-lb-waf`-Code bleibt für Bestandskunden im Wartungsmodus, keine
 ## Offene Punkte
 
 - **Hoster + Floating-IP-API** (§9): Spec dokumentieren.
-- **Angie-Repo-Verfügbarkeit** für arm64 prüfen.
 - **WireGuard-State-Replication** in der Praxis testen (Handshake-Latenz nach Floating-IP-Switch messen).
 - **`get.edgeguard.netcell-it.de`** anlegen oder Übergangs-URL auf `apt.netcell-it.de/edgeguard/install.sh` nutzen.

packaging/debian/edgeguard-api/DEBIAN/control

@@ -5,13 +5,13 @@ Maintainer: NetCell IT <support@netcell-it.de>
 Homepage: https://edgeguard.netcell-it.de
 Description: EdgeGuard — native Reverse-Proxy / LB / Forward-Proxy / VPN / Firewall
  EdgeGuard is a native Debian/Ubuntu edge gateway combining HAProxy,
- Angie (nginx-fork), Squid, WireGuard and nftables, configured from
+ nginx, Squid, WireGuard, Unbound and nftables, configured from
  a PostgreSQL single-source-of-truth via a Go management API.
  Deployable as a cluster of symmetric peers (KeyDB Active-Active +
  PG Streaming Replication + provider Floating-IP for HTTP ingress).
  .
  This package ships the management API, scheduler and CLI.
-Depends: postgresql-16 | postgresql-17, edgeguard-keydb (>= 6.3.4-edgeguard1), angie, haproxy (>= 2.8), squid, wireguard-tools, nftables, certbot, sudo, adduser, systemd, ca-certificates
+Depends: postgresql-16 | postgresql-17, edgeguard-keydb (>= 6.3.4-edgeguard1), nginx, haproxy (>= 2.8), squid, wireguard-tools, unbound, nftables, certbot, sudo, adduser, systemd, ca-certificates
 Recommends: apparmor, fail2ban
 Section: admin
 Priority: optional

packaging/debian/edgeguard-api/DEBIAN/postinst

@@ -21,9 +21,10 @@ case "$1" in
 
         # ── Directories ──────────────────────────────────────────────
         for d in /etc/edgeguard /var/lib/edgeguard /var/log/edgeguard \
-                 /etc/edgeguard/haproxy /etc/edgeguard/angie \
+                 /etc/edgeguard/haproxy /etc/edgeguard/nginx \
                  /etc/edgeguard/squid /etc/edgeguard/wireguard \
-                 /etc/edgeguard/nftables.d /etc/edgeguard/tls; do
+                 /etc/edgeguard/unbound /etc/edgeguard/nftables.d \
+                 /etc/edgeguard/tls; do
             install -d -m 0750 -o "$EG_USER" -g "$EG_USER" "$d"
         done
 

packaging/debian/edgeguard-meta/DEBIAN/control

@@ -5,7 +5,7 @@ Maintainer: NetCell IT <support@netcell-it.de>
 Homepage: https://edgeguard.netcell-it.de
 Description: EdgeGuard — meta package
  Pulls the full EdgeGuard stack: management API, UI, configured
- third-party services (HAProxy, Angie, Squid, WireGuard, nftables).
+ third-party services (HAProxy, nginx, Squid, WireGuard, Unbound, nftables).
  .
  Install this package to get a complete EdgeGuard node.
 Depends: edgeguard-api (= __VERSION__), edgeguard-ui (= __VERSION__)

packaging/debian/edgeguard-ui/DEBIAN/control

@@ -5,8 +5,8 @@ Maintainer: NetCell IT <support@netcell-it.de>
 Homepage: https://edgeguard.netcell-it.de
 Description: EdgeGuard — management UI (static React build)
  React 19 + Ant Design 6 single-page admin UI for EdgeGuard.
- Served by the Angie reverse proxy bundled in edgeguard-api.
-Depends: edgeguard-api (= __VERSION__), angie
+ Served by the nginx reverse proxy bundled in edgeguard-api.
+Depends: edgeguard-api (= __VERSION__), nginx
 Section: admin
 Priority: optional
 Installed-Size: 0