Go to file

Debian e379162a7f fix(firewall+nat): NAT funktioniert end-to-end + Edge-Sysctl-Profil

Mehrere zusammenhängende Fehler beim Import der NAT-Rules von der
alten EdgeGuard-Box gefunden + behoben:

1. nft-Template: NAT-Rules landeten als Comment (gleicher
   Whitespace-Trimmer-Bug wie bei den Operator-Rules vor zwei
   commits). Fix: Body auf eigener Zeile via {{""}}-Padding.

2. nft-Syntax-Reihenfolge: emittierte 'tcp ip daddr X dport Y' →
   parser-Fehler. Korrekt ist L3-match (ip saddr/daddr) zuerst,
   dann L4 (tcp/udp dport). Reihenfolge in der dnat-Zeile
   getauscht.

3. eth0 als Iface-Row hinzugefügt (Type ethernet, role wan) damit
   der zone→iface-Lookup für 'wan' tatsächlich auf das Linux-Iface
   trifft. Vorher war nur 'WAN'-bridge in der DB, das im Kernel
   nicht existiert → iifname-match griff nicht.

4. forward-chain: ct status dnat accept (DNAT-Pakete dürfen
   forwarden) + Auto-Forward pro SNAT/masquerade-Rule für die
   Origin-Pakete (return geht via established,related).

5. postrouting_nat: ct status dnat masquerade als Hairpin-Catch-All
   — sonst antwortet das DNAT-Ziel via seinem default-GW (oft
   nicht zur EdgeGuard-Box) → SYN_SENT + UNREPLIED. Trade-off:
   Backend sieht Box-IP statt client-IP.

6. Sysctl-Profil /etc/sysctl.d/99-edgeguard.conf bei jedem Install:
   - Forwarding (ip_forward + ipv6 forwarding) — Voraussetzung für
     ALLES NAT/DNAT/Masquerade.
   - Conntrack-Buckets + max=524288 (Edge-Box trackt viele
     parallele Sessions).
   - HAProxy-Tuning (somaxconn 64k, rmem/wmem 16M, keepalive,
     tcp_tw_reuse, ip_local_port_range).
   - BBR + fq als modernes Congestion-Control + Queueing.
   - Anti-DoS: tcp_syncookies, log_martians, kptr_restrict.

Verified end-to-end:
  $ nc -v 89.163.205.100 2030
  SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.16

Version 1.0.25.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-11 00:10:42 +02:00

cmd

fix(firewall+nat): NAT funktioniert end-to-end + Edge-Sysctl-Profil

2026-05-11 00:10:42 +02:00

deploy

feat(scheduler): Auto-Renewal für Let's Encrypt Certs

2026-05-10 22:50:00 +02:00

docs

feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot

2026-05-09 10:59:52 +02:00

internal

fix(firewall+nat): NAT funktioniert end-to-end + Edge-Sysctl-Profil

2026-05-11 00:10:42 +02:00

management-ui

fix(firewall+nat): NAT funktioniert end-to-end + Edge-Sysctl-Profil

2026-05-11 00:10:42 +02:00

packaging/debian

fix(firewall+nat): NAT funktioniert end-to-end + Edge-Sysctl-Profil

2026-05-11 00:10:42 +02:00

scripts

feat: install.sh One-Liner-Bootstrap + System-Adressen-Card auf IP-Page

2026-05-09 16:23:58 +02:00

.gitignore

chore: initial skeleton

2026-05-08 18:45:41 +02:00

agent.md

feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot

2026-05-09 10:59:52 +02:00

CLAUDE.md

feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot

2026-05-09 10:59:52 +02:00

go.mod

feat: WireGuard (server + client + peers + QR) + shared UI components

2026-05-10 20:51:25 +02:00

go.sum

feat: WireGuard (server + client + peers + QR) + shared UI components

2026-05-10 20:51:25 +02:00

Makefile

feat: Networks-Members für bridge/bond + System-Rules-Card + Theme-Revert

2026-05-10 16:19:07 +02:00

README.md

feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot

2026-05-09 10:59:52 +02:00

VERSION

fix(firewall+nat): NAT funktioniert end-to-end + Edge-Sysctl-Profil

2026-05-11 00:10:42 +02:00

README.md

EdgeGuard

Native Reverse-Proxy / Loadbalancer / Forward-Proxy / VPN / Firewall — als signiertes .deb für Debian 13 + Ubuntu 24.04, amd64 + arm64.

Status: v0.x — Neufassung des bisherigen Docker-Stacks, parallel zum Bestand proxy-lb-waf.

Installation

curl -fsSL https://get.edgeguard.netcell-it.de | sudo bash

Unterstützte Plattformen: Debian 13 (Trixie), Ubuntu 24.04 LTS (Noble) — amd64 + arm64.

Architektur in Kürze

Daten-Services (v1): HAProxy (TLS-Termination + LB + L7-Routing), Squid, WireGuard, Unbound, nftables — alle nativ via APT, Configs aus PostgreSQL generiert.
Control-Plane: edgeguard-api (Go/Gin), management-ui (React/AntD), PostgreSQL 16, KeyDB Active-Active.
Cluster: N symmetrische Peers, KeyDB AA für Shared State, PG Streaming Replication, Floating-IP des Hosters statt VRRP.
Auslieferung: signierte .deb, Update via apt. Update-Trigger via UI/API.

Volle Architektur: docs/architecture.md.

Build

make build       # Host-Architektur
make deb         # amd64 + arm64 .deb
make publish     # deb + Upload Gitea Package Registry

Repo

Lokal: /var/www/edgeguard-native
Gitea: https://git.netcell-it.de/projekte/edgeguard-native

Languages

Go 51.1%

TypeScript 34.4%

CSS 8.4%

Shell 3.8%

Smarty 1.8%

Other 0.4%