Draft update DNS, VPN, Workstation

.vscode/settings.json

@@ -0,0 +1 @@
+{}

crumbforest-admin-vektor.md

@@ -38,6 +38,9 @@ Jede **Crumbpage** behandelt ein Kernthema und baut auf dem vorherigen auf. Du l
 | **12** | **Das Gedächtnis** (Git) | `#init #commit #push #gitea` | 🆕 Neu |
 | **13** | **Der Tunnel** (Pipes) | `#grep #awk #sed #pipe` | 🆕 Neu |
 | **14** | **Das Cockpit** (Env) | `#bashrc #alias #tmux #a11y` | 🆕 Neu |
+| **15** | DNS - Das Telefonbuch | `#bind #records #dig #zones` | 🆕 Neu |
+| **16** | VPN (OpenRouter) | `#openvpn #tunnel #security #keys` | 📝 In Arbeit |
+| **17** | Die Workstation | `#ubuntu #mate #hardware #security` | 📝 In Arbeit |
 
 ---
 

crumbforest-introduction-warum-und-wie.md

@@ -19,10 +19,12 @@
 7. [LLM Token Logs](#llm-token-logs)
 8. [Sensoren & Hardware](#sensoren--hardware)
 9. [Der Kodex](#der-kodex)
-10. [Die Crew](#die-crew)
-11. [Technologie-Stack](#technologie-stack)
-12. [Wie es begann](#wie-es-begann)
-13. [Wie du mitmachen kannst](#wie-du-mitmachen-kannst)
+10. [Das Fundament: Recht & Gesetz](#das-fundament-recht--gesetz)
+11. [Ethical Hacking & Security Mindset](#ethical-hacking--security-mindset)
+12. [Die Crew](#die-crew)
+13. [Technologie-Stack](#technologie-stack)
+14. [Wie es begann](#wie-es-begann)
+15. [Wie du mitmachen kannst](#wie-du-mitmachen-kannst)
 
 ---
 
@@ -312,28 +314,121 @@ stack = {
 
 ---
 
+---
+
+## 🏛️ Das Fundament: Recht & Gesetz
+
+Bevor wir uns wie Wächter *fühlen* dürfen, müssen wir wissen, was wir *dürfen* und *müssen*.
+Die Gesetze sind keine "lästigen Hürden", sondern die Spielregeln, die unsere freie Gesellschaft (und unsere Daten) schützen.
+
+### 1. DSGVO (Datenschutz-Grundverordnung)
+Das "Warum" hinter Privacy. Wir sammeln keine Daten, nicht weil wir faul sind, sondern wegen:
+- **Datensparsamkeit:** Nur erheben, was technisch zwingend nötig ist.
+- **Zweckbindung:** Daten für A erhoben, dürfen nicht für B genutzt werden.
+- **Recht auf Vergessenwerden:** Jeder User muss seine Spuren löschen können.
+
+**Für Crumbforest bedeutet das:**
+Keine Analytics, keine Cookies (außer Session), kein Speichern von Chat-Logs ohne expliziten User-Wunsch (Opt-In).
+
+### 2. BSI IT-Grundschutz
+Das "Wie" der Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik gibt uns Standards:
+- **Datensicherung:** Backups sind Pflicht, keine Kür.
+- **Verschlüsselung:** Transport (TLS) und Storage (LUKS) müssen verschlüsselt sein.
+- **Zutrittskontrolle:** Wer darf in den Wald (Login)?
+
+### 3. StGB (Strafgesetzbuch)
+Die rote Linie. Überschreitest du sie, bist du kriminell.
+- **§ 202a (Ausspähen von Daten):** Zugangssicherung überwinden = Straftat.
+- **§ 202b (Abfangen von Daten):** Mitlesen (Sniffing) = Straftat.
+- **§ 202c (Vorbereiten des Ausspähens/Abfangens):** Der "Hackerparagraf".
+  *   Der *Besitz* von Tools (Dual Use) ist heikel.
+  *   Der *Einsatz* ohne Auftrag ist strafbar.
+
+> *"Unwissenheit schützt vor Strafe nicht. Aber Wissen schützt vor Dummheit."*
+
+---
+
+## 🛡️ Ethical Hacking & Security Mindset
+
+### Whitehat vs. Blackhat
+
+> *"Mit großer Macht kommt große Verantwortung."* — Ben Parker (und jeder gute Admin)
+
+In Crumbforest und im "Admin-Vektor" lernst du mächtige Werkzeuge kennen. `nmap`, `wireshark`, `metasploit` (vielleicht später) sind Dual-Use Tools. Sie können reparieren oder zerstören.
+
+**WIR SIND WHITEHATS (Die Guten):**
+- **Erlaubnis:** Wir testen NUR Systeme, die uns gehören oder für die wir eine *schriftliche* Erlaubnis haben.
+- **Zweck:** Wir finden Lücken, um sie zu schließen (Defense), nicht um sie auszunutzen (Offense).
+- **Transparenz:** Wir melden Funde verantwortungsvoll (Responsible Disclosure).
+
+**WIR SIND KEINE BLACKHATS (Die Bösen):**
+- Kein ungefragtes "Testen" fremder Systeme.
+- Kein Stehlen von Daten.
+- Kein Zerstören von Infrastruktur.
+- Das ist illegal, unethisch und verstößt gegen den Crumbforest Kodex.
+
+### Der "Grey Man" (Die Kunst der Unauffälligkeit)
+
+Im Kontext von OpFlow (Operational Flow) und physischer Sicherheit:
+- Sei unauffällig.
+- Keine "HACKER" Aufkleber im Café.
+- Keine unnötige Aufmerksamkeit auf dein Equipment lenken.
+- Sicherheit durch Unscheinbarkeit, nicht durch Security-Theater.
+
+### Rechtlicher Rahmen (Deutschland/EU)
+
+Wir operieren streng im Rahmen der Gesetze:
+- **§ 202c StGB (Hackerparagraf):** Der Besitz von "Hackertools" ist heikel. Wir nutzen sie als Admin-Werkzeuge zur Diagnose.
+- **DSGVO (GDPR):** Datenschutz ist unser höheres Ziel. Wir schützen Daten, wir leaken sie nicht.
+- **BSI-Grundschutz:** Unsere Bibel für sicheren Betrieb.
+
+**Merke:**
+> *Ein Crumbforest Admin baut Schutzwälle, keine Rammböcke.* 🏰
+
+👉 **Vertiefung:** Lies das [Guardian Manifesto](crumbforest-manifesto-guardian.md) für die volle Philosophie.
+
+---
+
 ### Säule 2: Menschen
 
 **Die Crew:**
 
 ```
-🦉 Krümeleule (Die Weise)
-├── Expertise: ADHS, Autismus, Neurodiversität
-├── Personality: Geduldig, verständnisvoll
-├── Dokumente: 721+ indexiert
+🦉 Krümeleule (System-Architektin)
+├── Expertise: Shell, Systemarchitektur, Schutz kindlicher Fragen
+├── Personality: Weise, geduldig, verständnisvoll
+├── Style: "Stille Wasser sind tief"
 └── Rolle: Wissens-Hüterin
 
-🦊 FunkFox (Der Schlaue)
-├── Expertise: Tech, Coding, Erklärungen
-├── Personality: Pragmatisch, direkt
-├── Style: "Wie funktioniert das eigentlich?"
-└── Rolle: Tech-Erklärbär
+🦊 FunkFox (Hip Hop MC)
+├── Expertise: Technik-Erklärungen mit Flow
+├── Personality: Motivierend, reimend, gut gelaunt
+├── Style: "Yo, check den Code!"
+└── Rolle: Der Beat im Terminal
 
-🐛 Bugsy (Der Detaillierte)
+🐍 SnakePy (Python Expertin)
+├── Expertise: Python, Clean Code, Geduld
+├── Personality: Freundlich, leise, präzise
+├── Style: "The Pythonic Way"
+└── Rolle: Code-Flüsterin
+
+🐙 DeepBit (System Octopus)
+├── Expertise: Low-Level, Assembler, C, Bits & Bytes
+├── Personality: Multitasking, tiefgründig
+├── Style: "01001000 01100101 01101100 01101100 01101111"
+└── Rolle: Core-Versteher
+
+⚡ CapaciTobi (Elektronik-Ingenieur)
+├── Expertise: Elektronik, Physik, Löten
+├── Personality: Energiegeladen, funkensprühend
+├── Style: "Spannung steigt!"
+└── Rolle: Hardware-Hacker
+
+🐛 Bugsy (Quality Guardian - Legacy & Heart)
 ├── Expertise: Details, Edge Cases, Qualität
-├── Personality: Präzise, gewissenhaft
-├── Style: "Hast du daran gedacht...?"
-└── Rolle: Quality Guardian
+├── Personality: Präzise, gewissenhaft, unbestechlich
+├── Style: "Ohne Fehler keine Berechtigung?"
+└── Rolle: Die letzte, die geht.
 
 + DU (Der Waldläufer)
 └── Rolle: User, Contributor, Teil des Waldes

crumbforest-manifesto-guardian.md

@@ -0,0 +1,84 @@
+# 🦉 Der Crumbforest Kodex: Wächter des Atems
+
+**Subtitle:** *Warum wir den Wald schützen & verstehen*  
+**Für:** Die Flipper-Zero Generation & Die Old School Wächter  
+**Vibe:** #Metaebene #DeepDive #Philosophy
+
+> *"Die Cloud ist nur der Computer eines anderen. Der Wald hingegen... der Wald atmet."* 🌲
+
+---
+
+## ⚡ Die Illusion der Magie (Flipper Zero & 5G)
+
+Wir leben in einer Welt der "Schwarzen Magie".
+Deine Kids drücken einen Knopf auf dem Flipper Zero, und der TV geht aus.
+Sie sehen "5G" auf dem Display, und das Video läuft.
+Sie speichern in der "Cloud", und die Datei ist überall.
+
+**Das ist Konsum. Das ist Oberfläche.**
+
+Für einen **Crumbforest Wächter** (Guardian) ist das unbefriedigend.
+- Wir wollen nicht nur den Knopf drücken. Wir wollen wissen, **warum** der TV ausgeht. (Infrarot-Protokolle, Carrier Frequencies).
+- Wir wollen wissen, was "5G" wirklich ist. (Frequenzen, Funkzellen, Backbones).
+- Wir wissen, dass die "Cloud" aus lauten, heißen Serverräumen besteht, die Strom fressen und von Menschen gewartet werden müssen.
+
+---
+
+## 🌬️ Die atmenden Prozesse des Waldes
+
+Ein Wald steht nicht einfach nur da. Er passiert.
+
+- **Wurzeln (Netzwerk):** Ohne sie kippt der Baum. TCP/IP ist nicht "langweilig", es ist der Boden, auf dem wir stehen.
+- **Saftstrom (Datenfluss):** Packets fließen wie Wasser. Wenn ein Strom stockt (Latenz), leidet der ganze Organismus.
+- **Photosynthese (Verarbeitung):** CPUs wandeln Energie in Information um.
+- **Jahresringe (Logs):** Die Geschichte von allem, was passiert ist. Unveränderlich, ehrlich.
+
+**Krümel im Crumbforest zu sein bedeutet:**
+Nicht nur die Bäume (Apps) zu sehen, sondern das Atmen (die Prozesse) zu hören.
+Wenn ein Service "hängt", rebooten wir nicht blind. Wir fühlen den Puls (htop), hören auf den Atem (logs) und finden die Krankheit (Root Cause).
+
+---
+
+## 🛡️ Warum wir schützen (Ethik des Wächters)
+
+Warum geben wir uns diese Mühe? Warum lernen wir BIND Configs, wenn es Cloudflare gibt?
+
+1. **Unabhängigkeit:** Wer versteht, wie Feuer funktioniert, muss nicht warten, bis Prometheus es bringt.
+2. **Resilienz:** Wenn die "Magie" (Internet, Cloud) ausfällt, sind wir es, die das Licht wieder anmachen können.
+3. **Verantwortung:** Wir haben die Keys to the Kingdom (Root).
+
+**Das Flipper-Paradoxon:**
+Es ist lustig, TVs auszuschalten. Es ist "Hacking" für 5 Sekunden.
+Aber es ist **keine Macht**.
+Wahre Macht ist es, das Netzwerk so zu bauen, dass der TV gegen Angriffe geschützt ist. Oder zu verstehen, wie man die Signale analyisert, um eigene Fernbedienungen zu reparieren.
+
+> *Blackhats brechen Dinge, um sich stark zu fühlen.*  
+> *Whitehats verstehen Dinge, um sie stark zu machen.*
+
+---
+
+## 🧘 Die Heilige Metaebene
+
+Im Crumbforest akzeptieren wir, dass Technologie komplex ist. Wir vereinfachen sie nicht durch Ignoranz ("macht die AI schon"), sondern durch Struktur.
+
+- Wir dokumentieren, weil wir unsere zukünftigen Selbst respektieren.
+- Wir automatisieren, weil wir Zeit für Wichtigeres brauchen (z.B. Nachdenken).
+- Wir teilen Wissen, weil ein einsamer Wächter überfordert ist.
+
+**An die nächste Generation:**
+Spielt mit dem Flipper. Freut euch an der Magie.
+Aber wenn ihr bereit seid, den Vorhang wegzuziehen und die Zahnräder zu sehen...
+Wenn ihr bereit seid, nicht nur User, sondern **Admin** zu sein...
+
+**...dann willkommen im Wald.** 🦉💙
+
+---
+
+**Version:** 1.0  
+**Status:** Manifesto  
+**Tags:** #Ethik #Philosophie #Mindset #NextGen
+
+---
+
+**Navigation:**  
+[← Zurück zur Introduction](crumbforest-introduction-warum-und-wie.md) | [Zum Admin-Vektor](crumbforest-admin-vektor.md)

crumbpage-15-dns.md

@@ -0,0 +1,223 @@
+# 🌐 Crumbpage 15: DNS - The Phonebook of the Internet
+
+**Subtitle:** *Namensauflösung verstehen und beherrschen*  
+**Pfad:** 15 von X  
+**Schwierigkeit:** ⭐⭐⭐⭐ (4/5)  
+**Zeit:** ~4 Stunden  
+**Voraussetzungen:** [Netzwerk Basics](crumbpage-06-netzwerk.md), [Services & Ports](crumbpage-10-services-ports.md)
+
+> *"It’s not DNS. There’s no way it’s DNS. It was DNS."* 🕵️‍♂️
+
+---
+
+## 📋 Was du in diesem Pfad lernst
+
+```
+✓ Geschichte: Von HOSTS.TXT zu BIND
+✓ Theorie: Rekursion vs. Iteration, Zones & Records
+✓ Server: BIND9 Konfiguration & Zonefiles
+✓ Client: Resolver, nsswitch.conf & hosts
+✓ Debugging: dig, host & Logfiles
+```
+
+---
+
+## 🎯 Lernziele
+
+Nach diesem Pfad kannst du:
+
+- [ ] Den Unterschied zwischen autoritativen und rekursiven Servern erklären
+- [ ] Eine Zonefile Syntax (SOA, NS, A, MX, CNAME) lesen und schreiben
+- [ ] Client-seitige DNS-Probleme diagnostizieren (`/etc/resolv.conf`)
+- [ ] Mit `dig` komplexe Abfragen durchführen und Antworten analysieren
+
+---
+
+## 🌱 Grundkonzepte & Geschichte
+
+### Konzept 1: Die Geschichte (Old School Wissen)
+
+**Vor 1983:**
+Das Internet (damals ARPANET) war klein. Es gab eine zentrale Datei: `HOSTS.TXT`.
+- Verwaltet vom NIC (Network Information Center) am SRI (Stanford).
+- Jeder Admin musste diese Datei via FTP herunterladen.
+- **Problem:** Nicht skalierbar. Namenskollisionen. Traffic.
+
+**1983 - Die Lösung:**
+Paul Mockapetris entwarf DNS (RFC 882, 883).
+- **Hierarchisch:** Root (`.`) -> Top-Level (`.com`, `.de`) -> Second-Level.
+- **Dezentral:** Verantwortung wird delegiert.
+- **Datenbank:** Verteiltes System statt einer Textdatei.
+
+### Konzept 2: Die Infrastruktur
+
+**Die Hierarchie:**
+Ein FQDN (Fully Qualified Domain Name) wird von rechts nach links gelesen: `www.example.com.`
+1. **Root (`.`)**: Die Wurzel aller DNS-Anfragen. Verwaltet von der IANA. Es gibt 13 Root-Server-Identitäten (A-M).
+2. **TLD (`.com`)**: Top-Level-Domain. Verwaltet von Registries (z.B. Verisign).
+3. **SLD (`example`)**: Second-Level-Domain. Deine Domain.
+4. **Subdomain (`www`)**: Hostname in deiner Zone.
+
+**Abfrage-Typen:**
+- **Iterativ:** "Ich kenne die Antwort nicht, aber hier ist die IP vom Server, der es weiß." (Verhalten der Root/TLD Server).
+- **Rekursiv:** "Ich frage für dich nach und gebe dir das fertige Ergebnis." (Verhalten deines lokalen Resolvers/ISPs).
+
+---
+
+## 🔧 Server & Zonen (Theorie & BIND)
+
+Der De-Facto Standard im Unix-Umfeld ist **BIND** (Berkeley Internet Name Domain). Auch wenn es modernere Alternativen gibt (Unbound, Knot), ist BIND "das Original".
+
+### Zonendateien (Zone Files)
+Das Herzstück. Textdateien, die die Records enthalten.
+
+**Wichtige Resource Records (RR):**
+
+| Typ | Erklärung | Beispiel |
+|---|---|---|
+| **SOA** | **Start of Authority**. Der wichtigste Record. Definiert Zonen-Parameter (Serial, Refresh, TTL). | `@ IN SOA ns1.example.com. admin.example.com. ...` |
+| **NS** | **Name Server**. Wer ist autoritativ für diese Zone? | `IN NS ns1.example.com.` |
+| **A** | **Address**. Hostname -> IPv4. | `www IN A 192.0.2.1` |
+| **AAAA** | **Quad-A**. Hostname -> IPv6. | `www IN AAAA 2001:db8::1` |
+| **CNAME** | **Canonical Name**. Alias auf einen *anderen Namen* (nicht IP!). | `ftp IN CNAME www.example.com.` |
+| **MX** | **Mail Exchange**. Wo gehen Mails hin? Mit Priorität. | `IN MX 10 mail.example.com.` |
+| **PTR** | **Pointer**. Reverse DNS (IP -> Name). Wichtig für Mailserver. | `1 IN PTR www.example.com.` |
+| **TXT** | **Text**. Beliebiger Text. Oft für SPF, DKIM, Verification. | `IN TXT "v=spf1 ..."` |
+
+**Anatomie eines SOA Records:**
+```dns
+@   IN  SOA     ns1.example.com. hostmaster.example.com. (
+        2023120801 ; Serial (YYYYMMDDnn) - Immer erhöhen bei Änderungen!
+        3H         ; Refresh (Wie oft Slaves fragen)
+        1H         ; Retry (Wenn Refresh fehlschlägt)
+        1W         ; Expire (Wann Slaves aufgeben)
+        1D )       ; Minimum TTL (Negatives Caching)
+```
+
+---
+
+## 🔌 Client & Anbindung (Linux/Unix)
+
+Wie weiß dein Server, wen er fragen muss?
+
+### 1. `/etc/nsswitch.conf`
+Der "Dispatch Manager". Regelt die Reihenfolge der Namensauflösung.
+```text
+hosts:      files dns
+```
+Bedeutet: Erst in lokalen Files (`/etc/hosts`) schauen, dann DNS fragen.
+
+### 2. `/etc/hosts`
+Die moderne `HOSTS.TXT`. Nützlich für lokales Testing oder overrides.
+```text
+127.0.0.1       localhost
+192.168.1.10    internal.server.local
+```
+
+### 3. `/etc/resolv.conf`
+Die Konfiguration des Resolvers.
+```text
+nameserver 8.8.8.8
+nameserver 1.1.1.1
+search example.com
+domain example.com
+```
+⚠️ **Achtung:** Wird heute oft von Systemdiensten (systemd-resolved, NetworkManager) überschrieben. Prüfe, ob es ein Symlink ist!
+
+---
+
+## 🛠 Tools & Logs
+
+### Dig (Domain Information Groper)
+Das Werkzeug der Wahl für Profis. Vergiss `nslookup` (deprecated/inkonsistent).
+
+```bash
+# Standard Abfrage (A Record)
+dig example.com
+
+# Bestimmten Record-Typ abfragen
+dig example.com MX
+
+# Bestimmten Nameserver befragen (Bypass lokaler Resolver)
+dig @8.8.8.8 example.com
+
+# Trace vom Root bis zur Antwort (Sehr lehrreich!)
+dig +trace example.com
+
+# Reverse Lookup (IP -> Name)
+dig -x 192.0.2.1
+```
+
+### Logs
+DNS Fehler sind oft still. Logs sind dein Freund.
+- **Syslog**: `/var/log/syslog` oder `/var/log/messages` (such nach `named`).
+- **Query Log**: Kann in BIND aktiviert werden (vorsicht: riesig!).
+
+### Häufige Fehlercodes
+- **NOERROR**: Alles gut (auch wenn Antwort leer ist -> NOERROR mit 0 Answers bedeutet "Name existiert, aber nicht dieser Record-Typ").
+- **NXDOMAIN**: Non-Existent Domain. Der Name existiert nicht.
+- **SERVFAIL**: Serverfehler. Config falsch, DNSSEC broken, oder Upstream down.
+- **REFUSED**: Server verweigert Antwort (z.B. falsche ACL für Rekursion).
+
+---
+
+## 🎓 Hands-On Übungen
+
+### Übung 1: Manuelle Auflösung "Spielen"
+
+**Aufgabe:**
+Verfolge den Pfad einer Domain von der Root an.
+
+**Schritte:**
+1. Finde die Root-Server: `dig . NS`
+2. Nimm einen davon (z.B. a.root-servers.net) und frag nach `.de`: `dig @a.root-servers.net de. NS`
+3. Nimm einen TLD-Server und frag nach einer Domain: `dig @[TLD-SERVER-IP] crumbforest.de NS`
+4. Frag den autoritativen Server nach der IP.
+
+### Übung 2: Record Analyse
+
+**Aufgabe:**
+Analysiere die Mail-Setup von `gmail.com`.
+
+**Befehl:**
+`dig gmail.com MX`
+
+**Frage:**
+Warum gibt es mehrere Einträge mit unterschiedlichen Zahlen (Preference)?
+
+---
+
+## 💭 Reflexion
+
+**Was war neu für mich?**
+```
+[Deine Notizen]
+```
+
+**Warum ist "It was DNS" ein Meme?**
+Weil DNS eine kritische Infrastruktur ist. Wenn DNS ausfällt, geht *scheinbar* nichts mehr, obwohl die Leitungen stehen. Ping auf IPs geht, Browser geht nicht.
+
+---
+
+## 🦉 Crystal Owl's Weisheit
+
+> *"Ein guter Admin kennt seine Zonen. Ein sehr guter Admin vergisst nie, die Serial zu erhöhen."*
+
+```
+Krümel-Tipp:
+Wenn du Änderungen an einer Zone machst und nichts passiert:
+1. Hast du die Serial erhöht?
+2. Hast du `rndc reload` (bei BIND) ausgeführt?
+3. Cached dein Client oder Resolver noch die alte Antwort (TTL)?
+```
+
+---
+
+**Version:** 1.0  
+**Status:** Theory Draft  
+**Tags:** #DNS #BIND #Netzwerk #Theorie
+
+---
+
+**Navigation:**  
+[← Zurück: Environment](crumbpage-14-environment.md) | [Admin-Vektor Übersicht](crumbforest-admin-vektor.md)

crumbpage-16-vpn.md

@@ -0,0 +1,132 @@
+# 🌐 Crumbpage 16: VPN - Der Geheimgang
+
+**Subtitle:** *Sicher durch das unsichere Netz*  
+**Pfad:** 16 von X  
+**Schwierigkeit:** ⭐⭐⭐ (3/5)  
+**Zeit:** ~2 Stunden  
+**Voraussetzungen:** [Netzwerk Basics](crumbpage-06-netzwerk.md), [SSH Basics](crumbpage-07-ssh-basics.md)
+
+> *"Das Internet ist ein dunkler Wald. Ein VPN ist dein unsichtbarer Umhang."* 🕵️‍♂️
+
+---
+
+## 📋 Was du in diesem Pfad lernst
+
+```
+✓ Konzept: Tunnel & Verschlüsselung
+✓ Protokolle: OpenVPN, WireGuard, IPsec
+✓ Praxis: OpenRouter & Config Files (.ovpn)
+✓ Security: Split-Tunneling vs. Full-Tunneling
+✓ Troubleshooting: Routing & MTU
+```
+
+---
+
+## 🎯 Lernziele
+
+Nach diesem Pfad kannst du:
+
+- [ ] Erklären, wie ein VPN deine Daten schützt
+- [ ] Eine `.ovpn` Datei verstehen und nutzen
+- [ ] Routing-Probleme im Tunnel diagnostizieren
+- [ ] Den Unterschied zwischen "Firmen-VPN" und "Privacy-VPN" verstehen
+
+---
+
+## 🌱 Grundkonzepte
+
+### Konzept 1: Der Tunnel
+
+Stell dir vor, du schickst einen Brief (Datenpaket) durch eine gläserne Rohrpost (Internet). Jeder kann sehen, an wen er geht und was drin steht (Header & Payload).
+
+Ein **VPN (Virtual Private Network)** ist wie ein gepanzertes Rohr *innerhalb* des gläsernen Rohrs.
+1. **Encapsulation:** Dein Brief wird in einen neuen Umschlag gesteckt.
+2. **Encryption:** Der Inhalt wird unlesbar gemacht.
+3. **Authentication:** Nur Sender und Empfänger haben den Schlüssel.
+
+### Konzept 2: Protokolle
+
+- **OpenVPN:** Der Klassiker. Sehr flexibel, nutzt SSL/TLS (wie HTTPS). Läuft meist über UDP 1194 (oder TCP 443 um Firewalls zu umgehen). Stabil, aber etwas langsamer ("Context Switches").
+- **WireGuard:** Der neue Star. Extrem schnell, moderne Kryptographie, weniger Code (weniger Bugs). Läuft im Kernel-Space (Linus Torvalds approved).
+- **IPsec/IKEv2:** Der alte Enterprise-Standard. Oft native in OS integriert, aber komplex zu konfigurieren.
+
+---
+
+## 🔧 Praxis: OpenRouter VPN
+
+In deinem Szenario ("OpenRouter") hast du spezielle Regeln und Zugriff auf verteilte Home-Verzeichnisse. Das klingt nach einem **Site-to-Site** oder **Remote-Access** Setup mit granularer Access Control.
+
+### Verbindung aufbauen (Linux Client)
+
+Meistens bekommst du eine Konfigurationsdatei (`client.ovpn` oder `wg0.conf`).
+
+**OpenVPN (Terminal):**
+```bash
+sudo openvpn --config mein-zugang.ovpn
+```
+*Pro-Tipp: Starte es in `tmux` oder als Service, damit es nicht stirbt, wenn du das Terminal schließt.*
+
+**NetworkManager (GUI):**
+1. Einstellungen -> Netzwerk
+2. `+` (Hinzufügen) -> VPN -> Import from file...
+3. Wähle die `.ovpn` Datei.
+
+### Routing & "Eigene Regeln"
+
+Ein VPN kann zwei Modi haben:
+
+1. **Full Tunnel (Redirect Gateway):**
+   - *Alles* geht durch den Tunnel (Internet surfen, Spotify, Arbeit).
+   - Deine öffentliche IP ist die des VPN-Servers.
+   - **Vorteil:** Sicherheit im Café WLAN.
+   - **Nachteil:** Langsam, Netflix motzt evtl.
+
+2. **Split Tunnel:**
+   - Nur Traffic für spezifische Netze (z.B. `10.0.0.0/8` - das RZ) geht durch den Tunnel.
+   - Surfen geht weiterhin direkt über deinen Provider.
+   - **Vorteil:** Performance.
+   - **Risiko:** Wenn DNS nicht auch getunnelt wird -> **DNS Leak**!
+
+---
+
+## 🔍 Troubleshooting Checkliste
+
+Wenn "nichts geht", obwohl der Tunnel steht:
+
+1. **Ping durch den Tunnel?**
+   `ping 10.10.x.1` (Gateway Adresse). Geht das nicht -> Tunnel kaputt.
+
+2. **Routing Table prüfen:**
+   `ip route show`
+   Siehst du Routen für das Zielnetz, die auf das `tun0` Interface zeigen?
+
+3. **DNS?**
+   Wenn `ping 10.10.x.1` geht, aber `ping fileserver.internal` nicht -> DNS Problem!
+   Nutzt du den internen DNS Server? (siehe `crumbpage-15-dns.md`)
+
+4. **MTU (Maximum Transmission Unit):**
+   Manchmal ist das Paket inkl. VPN-Header zu groß für die Leitung.
+   *Symptom:* Ping (klein) geht, SSH (groß) hängt.
+   *Fix:* `mssfix` in OpenVPN Config.
+
+---
+
+## 🦉 Crystal Owl's Weisheit
+
+> *"Ein VPN macht dich nicht anonym, es verschiebt nur das Vertrauen vom Café-Besitzer zum VPN-Betreiber."*
+
+```
+Krümel-Tipp:
+Wenn du im Homeoffice bist und auf einmal der Drucker nicht mehr geht -> Check ob du im "Full Tunnel" bist und dein lokales LAN nicht mehr erreichen darfst!
+```
+
+---
+
+**Version:** 1.0  
+**Status:** Draft  
+**Tags:** #VPN #OpenVPN #Security #RemoteWork
+
+---
+
+**Navigation:**  
+[← Zurück: DNS](crumbpage-15-dns.md) | [Admin-Vektor Übersicht](crumbforest-admin-vektor.md)

crumbpage-17-workstation.md

@@ -0,0 +1,143 @@
+# 🌐 Crumbpage 17: Die Workstation - Die Axt des Waldhüters
+
+**Subtitle:** *Dein tägliches Werkzeug perfektionieren*  
+**Pfad:** 17 von X  
+**Schwierigkeit:** ⭐⭐ (2/5)  
+**Zeit:** ~3 Stunden  
+**Voraussetzungen:** [First Access](crumbpage-11-first-access.md), [Environment](crumbpage-14-environment.md)
+
+> *"Ein unscharfes Werkzeug ist gefährlicher als ein scharfes."* 🛠️
+
+---
+
+## 📋 Was du in diesem Pfad lernst
+
+```
+✓ Hardware: Framework 13 & AMD Ryzen Besonderheiten
+✓ OS-Wahl: Debian vs. Ubuntu (MATE) vs. Mint
+✓ Security: Full Disk Encryption, Fingerprint & SSH Agent
+✓ Workflow: Browser-Isolation, Meeting-Setup
+✓ Backup: Timeshift & Restic
+```
+
+---
+
+## 🎯 Lernziele
+
+Nach diesem Pfad kannst du:
+
+- [ ] Eine begründete Entscheidung für dein OS treffen
+- [ ] Verstehen, warum Fingerprints "Usernamen" und keine "Passwörter" sind
+- [ ] Deine Workstation für Meetings (Webcam/Audio) und Sysadmin-Arbeit (SSH/VPN) härten
+- [ ] Strategien gegen "Evil Maid" Attacken anwenden
+
+---
+
+## 💻 Die Hardware: Framework 13 (AMD Ryzen 7040)
+
+Eine exzellente Wahl! Modular, reparierbar, zukunftssicher. 
+**AMD Ryzen 7040 Series** bedeutet:
+- Starke Performance
+- Gute Linux-Unterstützung (ab Kernel 6.1+, besser 6.5+)
+- AI Engine (Ryzen AI) - unter Linux noch experimentell, aber kommt.
+
+### Hardware-Checkliste für Linux
+- **WLAN:** Meist MediaTek oder Intel AX210 (Funktioniert super).
+- **Fingerprint:** Goodix Sensor. Braucht `fprintd` und manchmal Firmware-Updates via `fwupd`.
+- **Webcam/Audio:** Privacy Switches beachten! (Mechanische Schalter am Bezel).
+
+---
+
+## 🐧 Die Wahl des Betriebssystems
+
+Du stehst vor der Wahl: **Debian** vs. **Ubuntu (MATE)** vs. **Mint**.
+
+### 1. Debian (Stable/Bookworm) "The Rock" 🪨
+- **Pro:** Maximale Stabilität, keine Überraschungen, keine Zwangs-Snaps.
+- **Contra:** Software oft älter. Für Ryzen 7040 brauchst du zwingend einen neueren Kernel (Backports) und Non-Free Firmware.
+- **Fingerprint:** Kann frickelig sein, Pakete sind oft älter.
+- **Fazit:** Für Puristen, die alles kontrollieren wollen.
+
+### 2. Ubuntu (MATE) "The Convenient" 🧉
+- **Pro:** "It just works". Hardware-Support meist Out-of-the-Box. MATE ist leicht, klassisch (Old School GNOME 2 Feeling) und effizient.
+- **Contra:** Snap Pakete (kann man entfernen, ist aber Arbeit). Mehr Telemetrie (abschaltbar).
+- **Fingerprint:** Sehr gute Integration in GNOME/MATE Settings.
+- **Fazit:** **Empfehlung für deinen "Sysop Laptop".** Du willst arbeiten, nicht am OS basteln.
+
+### 3. Linux Mint "The User Friendly" 🍃
+- **Pro:** Basiert auf Ubuntu LTS (stabil), kein Snap-Zwang, sehr poliert (Cinnamon/MATE).
+- **Contra:** Kernel-Upgrades manchmal langsamer als bei Ubuntu HWE Stacks.
+- **Fazit:** Solide Alternative zu Ubuntu MATE.
+
+---
+
+## 🔐 Security & Convenience
+
+### Der Fingerabdruck-Scanner: Nice to Hack?
+Du hast Recht: Ein Fingerabdruck ist **biometrisch** und damit **öffentlich**. Man kann ihn dir abnehmen (Glas, Foto).
+*Aber:*
+- **Sicherheit:** Er ist gut genug als "Komfort-Faktor" (statt PIN tippen im Café).
+- **Risiko:** Wenn du schläfst oder gezwungen wirst, kann er genutzt werden.
+- **Strategie:**
+    1. **Boot:** Full Disk Encryption (LUKS) nur mit **Passphrase**. (Schützt vor Diebstahl/Evil Maid im ausgeschalteten Zustand).
+    2. **Login/Sudo:** Fingerprint okay.
+    3. **SSH Keys:** **Passphrase Protected Key** im `ssh-agent`.
+       - Der Agent speichert den Key im RAM.
+       - Entsperren beim ersten Zugriff via Passphrase.
+       - *Nicht* automatisch per Fingerprint entsperren lassen, wenn du paranoid bist.
+
+### Webcam & Meetings
+- Framework hat Hardware-Switches. Nutze sie! 🔴
+- Audio funktioniert unter PipeWire (modernes Linux Audio) mittlerweile exzellent.
+- Browser: Nutze Container/Profile (z.B. Firefox Multi-Account Containers) für verschiedene Kunden/Kontexte.
+
+---
+
+## 🛠 Das Setup (Ubuntu MATE Empfehlung)
+
+1. **Installation:**
+   - Wähle "Minimal Installation" (weniger Bloat).
+   - Aktiviere: "Install third-party software" (Wichtig für WLAN/Codecs).
+   - **WICHTIG:** "Advanced Features" -> "Erase disk and use ZFS" oder "LVM with Encryption" (LUKS).
+
+2. **Post-Install:**
+   ```bash
+   # 1. Update everything
+   sudo apt update && sudo apt full-upgrade
+   
+   # 2. Firmware Updates (Wichtig für Framework!)
+   sudo fwupdtool get-devices
+   sudo fwupdtool update
+   
+   # 3. Fingerprint
+   sudo apt install fprintd libpam-fprintd
+   fprintd-enroll
+   
+   # 4. Tools
+   sudo apt install git vim htop tmux curl
+   ```
+
+3. **SSH Agent:**
+   MATE startet den Agent meist automatisch (`gnome-keyring`). Wenn du echte Kontrolle willst, nutze den klassischen `ssh-agent` in der `.bashrc`.
+
+---
+
+## 🦉 Crystal Owl's Weisheit
+
+> *"Die beste Workstation ist die, die du nicht bemerkst, während du arbeitest."*
+
+```
+Krümel-Tipp:
+Klebe keine Sticker auf den Laptop-Deckel, wenn du im Café "Grey Man" (unauffällig) bleiben willst. Ein Framework Logo ist okay, aber "HACKER INSIDE" zieht Blicke an. 😉
+```
+
+---
+
+**Version:** 1.0  
+**Status:** Draft  
+**Tags:** #Workstation #Hardware #Security #UbuntuMATE
+
+---
+
+**Navigation:**  
+[← Zurück: VPN](crumbpage-16-vpn.md) | [Admin-Vektor Übersicht](crumbforest-admin-vektor.md)