docu: Step-A-NAT präzisiert, watchtower-Fix + mailcow-Update-Status

- opnsense-step-a-nat.md: genaue GUI-Schritte (warum SNAT auf 10.1.1.22 nötig, Aliase, Outbound-NAT, Firewall, Test)
- horus/README.md: watchtower-Crashloop behoben (DOCKER_API_VERSION=1.40), mailcow ohne Auto-Update dokumentiert

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

horus/README.md

@@ -49,6 +49,11 @@ Web-Apps liegen i.d.R. hinter **nginx-proxy-manager** (Ports 80/443).
 | `wg-quick@wg0.service` | WireGuard-Hub |
 | `chrony`, `uptimed`, `docker`, `containerd` | Standard |
 
-## Bekannte Probleme
+## Updates / Wartung
 
-- ⚠️ **`infrastructure-watchtower-1` crash-loopt** (`Restarting`). Log: *„client version 1.25 is too old. Minimum supported API version is 1.40"* — watchtowers Docker-API-Client ist zu alt für den Docker-Daemon. **Auto-Updates der Container laufen dadurch nicht.** Fix: watchtower-Image aktualisieren (`docker compose pull && up -d` in `/opt/infrastructure`) oder entfernen.
+- **watchtower** (`/opt/infrastructure`): aktualisiert per `WATCHTOWER_LABEL_ENABLE=true` **nur** Container mit Label `com.centurylinklabs.watchtower.enable=true` (aktuell faktisch nur sich selbst). mailcow & Stacks sind bewusst ausgenommen.
+- **mailcow**: hat **keine** Auto-Update-Automatik (kein cron/Timer). Updates **manuell/kontrolliert** via `cd /opt/mailcow && ./update.sh` (Multi-Container-Stack mit Migrationen — watchtower darf das nicht, würde nur Images blind tauschen).
+
+## Bekannte Probleme / Historie
+
+- ✅ **2026-06-28: watchtower crash-loop behoben** — `containrrr/watchtower:latest` pinnt intern Docker-API `1.25` (Daemon verlangt min `1.40`). Fix: `DOCKER_API_VERSION=1.40` in der watchtower-`environment` (in `/opt/infrastructure/docker-compose.yml`). Läuft seitdem sauber als „Watchtower 1.7.1".