Hetzner Project — `av-tools`

Interne Tools von Agentic Ventures (kein Kunden-Bezug). Pattern analog av-shared bei AWS — Multi-Tenant nicht relevant, einfach nur „unsere Werkzeuge”.

Feld	Wert
Project-Name (Hetzner)	tbd — aktuell laeuft das ueber den default HCLOUD_TOKEN, vermutlich erstes/aeltestes Project. Bei Konsole-Check nachpflegen.
Default-Region	`nbg1` (Nuernberg)
Erstellt	2026-05-15
Zweck	Interne Tools (Stirling, ggf. spaeter weitere kleine Services)

Cloud Server

`av-tools-shared-01` — Shared Tool-Host (Stirling-PDF + Uptime-Kuma)

Server-Name ist historisch — er hostet seit 2026-05-17 mehrere Services parallel (siehe Pattern-Doku kosten, Abschnitt “Shared CX23”). Bei mehr als 3-4 Services oder Memory-Druck → eigenen av-tools-monitoring-01 oder av-tools-shared-01 anlegen und umsiedeln.

Hardware

Feld	Wert
Server-ID	`131113789`
Type	`cx23` (2 vCPU x86, 4 GB RAM, 40 GB Disk) — ~5 €/Monat
Image	`ubuntu-24.04`
Location	`nbg1-dc3`
IPv4	`46.225.16.231`
IPv6	`2a01:4f8:1c18:5e7f::/64`
Erstellt	2026-05-15
SSH-Key	`marvin-av-tools` (Hetzner-ID `112321437`), lokal: `~/.ssh/hetzner_av_tools`
SSH-Alias	`ssh av-tools-shared` (alt: `ssh av-tools-stirling` faengt’s auch noch ab)
Hostname (auf der Maschine)	`av-tools-shared-01` (umbenannt 2026-05-17, vorher `av-tools-stirling-01`)

Services auf diesem Host

Service	Port (intern)	Public-URL	Compose-Pfad	Auth
`stirling` (Stirling-PDF)	`127.0.0.1:8080`	`pdf.agenticventures.de`	`/opt/stirling/docker-compose.yml`	Stirling-interner Login (`SECURITY_ENABLELOGIN=true`); CF Access geplant
`uptime-kuma` (Status-Monitoring)	`127.0.0.1:3001`	`uptime.agenticventures.de`	`/opt/uptime-kuma/docker-compose.yml`	Uptime-Kuma-interner Login (1. UI-Aufruf legt Admin an); CF Access geplant
`supertonic` (TTS Supertonic 3)	`127.0.0.1:7788`	`tts.agenticventures.de`	`/opt/supertonic/docker-compose.yml`	Keine — Service akzeptiert beliebige Bearer-Tokens. OpenAI-kompatibel: `POST /v1/audio/speech`. Modell-Cache auf Docker-Volume `supertonic_supertonic_cache`. Verwendet von `vf-chat.agenticventures.de` (Open WebUI VF, TTS-Engine `openai`).

Server-Basis:

Docker + Compose (von download.docker.com, nicht Ubuntu-Variante)
cloudflared (Cloudflare-APT-Repo) als systemd-Service, terminiert alle Public-URLs ueber Tunnel av-tools (6537ca14-d606-4011-9062-d31d71b73b86)
fail2ban, unattended-upgrades, SSH key-only (kein Password, kein root-Password-Login)

Container-Bindings: Alle Container binden auf 127.0.0.1:<port> (kein 0.0.0.0). Public erreichbar ausschliesslich ueber Cloudflare Tunnel.

Daten-Volumes Stirling: /opt/stirling/{data,config,logs,custom-files,pipeline,extra-configs} Daten-Volumes Uptime-Kuma: /opt/uptime-kuma/data

Bootstrap-Skripte (auf Server unter /root/):

bootstrap.sh — Idempotenter Initial-Setup-Lauf (System-Update, Docker, Cloudflared, Stirling-Compose). Re-Run nach Reboot oder Image-Update OK.
install-tunnel.sh <token> — Installiert Cloudflared als systemd-Service mit dem Tunnel-Token. Einmal-Lauf bei Tunnel-Setup oder bei Token-Rotation.

Lokale Kopie der Skripte: /tmp/stirling-bootstrap/ (nicht versioniert — bei Server-Reset neu von Vault erstellen).

Firewall

`av-tools-stirling` (ID `10976973`)

Regel	Direction	Protocol	Port	Source
SSH	in	tcp	22	`0.0.0.0/0`, `::/0` (key-only Auth)
ICMP	in	icmp	—	`0.0.0.0/0`, `::/0`

Kein 80/443 inbound — Stirling ist nur ueber Cloudflare Tunnel erreichbar, Server hat keine offene Web-Surface.

SSH-Keys

Name	Hetzner-ID	Lokaler Pfad	Owner
`marvin-av-tools`	`112321437`	`~/.ssh/hetzner_av_tools`	Marvin

Cloudflare-Setup

Feld	Wert
Zone	`agenticventures.de`
Hostname	`pdf.agenticventures.de`
Tunnel-Name	`av-tools` (in Cloudflare Zero Trust → Networks → Tunnels)
Tunnel-ID	`6537ca14-d606-4011-9062-d31d71b73b86`
Tunnel-Type	Cloudflared, Cert-basiert (via `cloudflared tunnel create`, nicht Token)
Tunnel-Credentials	Server: `/etc/cloudflared/<tunnel-id>.json` (0600 root). Lokal: `~/.cloudflared/<tunnel-id>.json` (Backup).
Tunnel-Config	Server: `/etc/cloudflared/config.yml`
Public-Hostname-Services	`pdf.agenticventures.de` → `http://localhost:8080` (Stirling) `uptime.agenticventures.de` → `http://localhost:3001` (Uptime-Kuma) `tts.agenticventures.de` → `http://localhost:7788` (Supertonic)
DNS-CNAMEs	beide Subdomains → `<tunnel-id>.cfargotunnel.com` (via `cloudflared tunnel route dns`)
Access-Application	tbd — noch nicht angelegt (Stand 2026-05-15: Stirling-interner Login als einzige Auth-Schicht)
Access-Policy (geplant)	Allow / Email-Allowlist (`hello@marvinkuehlmann.com` + `johanna@vibe-factory.de` — Email verifizieren)
Access-Method (geplant)	Email OTP
Session-Duration (geplant)	24h

Token-Rotation: wenn Tunnel-Token kompromittiert: in CF Dashboard neuen Token generieren → ./install-tunnel.sh <new-token> auf Server.

Offene Punkte (Stand 2026-05-17)

Uptime-Kuma Initial-Admin anlegen — bei erstem Aufruf von uptime.agenticventures.de legt das UI den Admin-User an. Solange das nicht passiert, ist die Instanz fuer jeden, der die URL kennt, hijackbar. Zeitnah erstmaligen Login durchziehen.
Uptime-Kuma Monitoring-Targets anlegen — vorgeschlagene erste Liste (im UI eintragen):
- https://mcp-whatsapp.agenticventures.de/health (HTTP, 60s, expect 200)
- https://uptime.agenticventures.de/ (Self-Check, 300s)
- https://pdf.agenticventures.de/ (Stirling)
- https://agenticventures.de/ (Website)
- https://marvinkuehlmann.com/ (Personal-Site)
- VF Open-WebUI-URL (ergaenzen sobald Domain stabil)
- Icking-AI Fargate-Service (ergaenzen sobald Domain steht)
- Becker Hetzner-Stack (ergaenzen sobald live)
Uptime-Kuma Notification-Channels — Telegram-Bot (Push aufs Handy) + Email hello@marvinkuehlmann.com. Telegram-Setup: BotFather → /newbot → Token in Uptime-Kuma Settings → Notifications. Chat-ID via @userinfobot.
Stirling Default-Login aendern — eingebaute Creds admin / stirling-pdf sind noch aktiv. Erst-Login geht aktuell ueber jeden der die URL findet. Im Browser unter pdf.agenticventures.de einloggen → Settings → Account → Password aendern.
User fuer Johanna Siepmann (VF) anlegen in Stirling Settings → User Management. Email klaeren (Annahme: johanna@vibe-factory.de).
Cloudflare Access davorschalten — beide Subdomains (pdf. + uptime.). Email-OTP-Layer als zweite Auth-Schicht. CF Dashboard → Zero Trust → Access → Applications → Add Self-hosted pro Subdomain, Email-Allowlist hello@marvinkuehlmann.com (+ Johanna fuer Stirling). Bis das passiert: Subdomain-URLs bewusst nicht weitergeben.
Mac-DNS-Quirk bei Marvin lokal — getaddrinfo resolved pdf.agenticventures.de nicht (curl/Browser → NXDOMAIN), waehrend dig korrekt 104.21.78.120 / 172.67.220.246 zurueckgibt. Workaround: /etc/hosts-Pin 172.67.220.246 pdf.agenticventures.de. Vom Handy + von anderen Geraeten geht’s. Separater Bug, nichts mit dem Server-Setup zu tun. Gleicher Workaround moeglicherweise fuer uptime.agenticventures.de noetig.

Kosten (Stand 2026-05-15)

Posten	EUR/Monat
Cloud Server cx23 (nbg1)	~5,00
Public IPv4	0,60
Traffic (im 20 TB Free-Quota)	0
Cloudflare Tunnel + Access (bis 50 User Free)	0
Summe	~5,60 €/Monat

Runbooks

Stirling-Update

ssh av-tools-stirling
cd /opt/stirling
docker compose pull && docker compose up -d

Uptime-Kuma-Update

ssh av-tools-stirling
cd /opt/uptime-kuma
docker compose pull && docker compose up -d

Neuen Service auf den Shared Host packen

/opt/<service>/docker-compose.yml anlegen, Container auf 127.0.0.1:<freier-port> binden (NICHT 0.0.0.0)
docker compose up -d und Container-Health pruefen
In /etc/cloudflared/config.yml zweite Ingress-Regel ergaenzen:
```
- hostname: <name>.agenticventures.de
  service: http://localhost:<port>
```
Vor der Catch-All-Regel service: http_status:404 einsortieren.
cloudflared tunnel ingress validate → systemctl restart cloudflared
Lokal auf Marvins Mac: cloudflared tunnel route dns av-tools <name>.agenticventures.de
Smoke-Test: curl -I https://<name>.agenticventures.de/

Server-Reboot

ssh av-tools-stirling reboot
# cloudflared startet automatisch via systemd, Stirling via Docker restart-policy

Marvin: einloggen unter pdf.agenticventures.de (nach Cloudflare-Access-OTP) → Admin-Settings → User Management → Add User. Erst-Login mit Default-User admin / stirling-pdf — MUSS beim ersten Login geaendert werden.

Access-Allowlist aendern (User dazu / weg)

Cloudflare Dashboard → Zero Trust → Access → Applications → pdf.agenticventures.de → Policies → Edit Allowlist.

Tunnel logs

ssh av-tools-stirling journalctl -u cloudflared -f

_index — Hetzner-Capability-Dashboard
projects — Project-Inventar (av-tools dort als zweite Zeile fuehren)
mcp-hosting-fargate-tunnel — analoger Pattern auf Fargate (zur Inspiration falls je geportet)

Agentic Ventures Wiki

Explorer

av-tools

Hetzner Project — `av-tools`

Header

Cloud Server

`av-tools-shared-01` — Shared Tool-Host (Stirling-PDF + Uptime-Kuma)

Hardware

Services auf diesem Host

Firewall

`av-tools-stirling` (ID `10976973`)

SSH-Keys

Cloudflare-Setup

Offene Punkte (Stand 2026-05-17)

Kosten (Stand 2026-05-15)

Runbooks

Stirling-Update

Uptime-Kuma-Update

Neuen Service auf den Shared Host packen

Server-Reboot

Access-Allowlist aendern (User dazu / weg)

Tunnel logs

Graphansicht

Inhaltsverzeichnis

Backlinks

Agentic Ventures Wiki

Explorer

av-tools

Hetzner Project — av-tools

Header

Cloud Server

av-tools-shared-01 — Shared Tool-Host (Stirling-PDF + Uptime-Kuma)

Hardware

Services auf diesem Host

Firewall

av-tools-stirling (ID 10976973)

SSH-Keys

Cloudflare-Setup

Offene Punkte (Stand 2026-05-17)

Kosten (Stand 2026-05-15)

Runbooks

Stirling-Update

Uptime-Kuma-Update

Neuen Service auf den Shared Host packen

Server-Reboot

User in Stirling anlegen (interner Login)

Access-Allowlist aendern (User dazu / weg)

Tunnel logs

Related

Graphansicht

Inhaltsverzeichnis

Backlinks

Hetzner Project — `av-tools`

`av-tools-shared-01` — Shared Tool-Host (Stirling-PDF + Uptime-Kuma)

`av-tools-stirling` (ID `10976973`)