docu: Horus-VPS-Dienste, issues/-Tracking + WG-NAT-Vorfall, WG-Key-Warnungen

- horus/README.md: Dienst-Discovery (mailcow, bind9, NPM, authentik, hedgedoc, apps), Zugang, WG-Verwaltung (kein wireguard-ui aktiv), watchtower-Problem
- issues/: Tracking-Konvention + Vorfall VM101<->Horus WireGuard (Ursache war NAT/Quellport, nicht Keys; Fix ListenPort 51871)
- README.md: Horus in Hosts-Tabelle + Verzeichnisbaum
- shared/horus-opnsense-wireguard: Key-Verwechslungs-Warnungen

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

shared/horus-opnsense-wireguard/README.md

@@ -10,6 +10,19 @@ Direkter WireGuard-Tunnel zwischen **OPNsense** (lokales Netz) und **Horus** (VP
 
 Configs inkl. Private Keys: **privates Repo** — siehe Dateien in diesem Ordner.
 
+## Keys nicht verwechseln (VM ≠ OPNsense)
+
+Zwei getrennte Tunnel = **zwei getrennte Keypairs**. Horus kennt jeden Peer nur über den **Public Key**.
+
+| Tunnel | Private Key (Datei) | Public Key (muss in GUI stehen) |
+|--------|-------------------|----------------------------------|
+| **OPNsense** `10.1.1.22` | `opnsense-client.conf` → `AGEam06B9…` | `walbWTYXAGOD1mOxPK+NwKT6qUhLyY0qieWBeTIbdXU=` |
+| **VM 101** `10.1.1.5` | `vm101-client.conf` → `SKMnLpkj…` | `VB3Cf8kDxpzO+FyMrLxPyJ0vUjm8yJ/qIKmhY2KeeyI=` |
+
+**Falscher Private Key auf OPNsense** → GUI zeigt evtl. trotzdem einen Public Key, Horus antwortet aber nicht zum richtigen Peer → Symptom: **Bytes gesendet, 0 empfangen, kein Handshake**.
+
+OPNsense-Instanz: Private Key **nur** aus `opnsense-client.conf`, **nicht** aus `vm101-client.conf`.
+
 ## Subnetz-Aufteilung (kein Teilen zwischen Peers)
 
 | Netz | Horus-Peer | Wer routet |

shared/horus-opnsense-wireguard/opnsense-client.conf

@@ -1,3 +1,5 @@
+# OPNsense Local — NICHT vm101-client.conf (SKMnLpkj… = VM, Public Key VB3Cf8kD…)
+# Public Key zu diesem Private Key: walbWTYXAGOD1mOxPK+NwKT6qUhLyY0qieWBeTIbdXU=
 [Interface]
 PrivateKey = AGEam06B9IKmy3wSNRUOLoeLIaGJ5q1ftasOs3qlHEI=
 Address = 10.1.1.22/32