raspip5 — Dienste für Einsteiger
Stand: 31. März 2026 Zielgruppe: Mitarbeitende und Leitung der Creative Kirche
Auf einen Blick
Ein kleiner Computer (raspip5) ist das Smart-Home-System bei Andreas zuhause und stellt lokale Dienste bereit. 11 Programme laufen darauf in sogenannten Docker-Containern (vergleichbar mit Apps auf dem Smartphone). Das Monitoring der IT-Systeme der Creative Kirche ist seit dem 28. März 2026 auf einen VPS (virtueller Server) bei Hetzner (sck-debian-nbg) umgezogen.
Was wird überwacht?
| Bereich | Was genau? |
|---|---|
| Netzwerk | Beide Sophos-Firewalls (Pferdebachstr. + Ruhrstr.), 13 WLAN-Access-Points, Internetgeschwindigkeit, Microsoft 365 |
| Gebäude | Salto-Schließsystem (ProAccess Space) — Server, Datenbank, Verbindungen |
| Sicherheit | Firewall-Logs und -Backups, stündliche Konfigurationssicherung |
Wo schaue ich nach?
| Tool | Adresse | Wofür? |
|---|---|---|
| Grafana | https://anknorr.ddnss.de | Dashboards mit Diagrammen und Verlaufsdaten (Login: admin / admin) |
| Gatus | https://gatus-anknorr.ddnss.de | Grün/Rot-Übersicht aller Dienste (läuft auf dem VPS) |
| ntfy (Handy-App) | Topic: monitoring |
Push-Warnungen bei Problemen |
Was tun bei einer Warnung?
- Nachricht lesen — was ist betroffen?
- Kurz abwarten — kommt eine Entwarnung?
- Wenn nicht: Andreas Knorr kontaktieren (0173 6167044 / WhatsApp / andreas.knorr@creative-kirche.de)
Details zu allen Diensten und Dashboards findest du in den folgenden Kapiteln.
1. Was ist der raspip5?
Der raspip5 ist ein kleiner Computer — ein sogenannter Raspberry Pi 5. Er ist ungefähr so groß wie eine Kreditkarte, steht bei Andreas im Heimnetz und läuft rund um die Uhr.
Seine Aufgabe: Er ist das Smart-Home-System (Home Assistant, Zigbee-Geräte, Licht- und Heizungssteuerung) und stellt lokale Dienste bereit (DNS-Werbeblocker Pi-hole, PV-Monitoring, FritzBox-Monitoring). Außerdem ist er per WireGuard-VPN mit dem VPS verbunden (10.100.0.2 ↔ 10.100.0.1) und per OpenVPN-Client (Split-Tunnel) ins CK-Netz angebunden.
Das CK-Monitoring (Firewalls, WLAN-APs, Salto-Schließsystem, Internetverbindung) läuft seit März 2026 auf dem VPS sck-debian-nbg bei Hetzner. Wenn dort etwas nicht stimmt, wird eine Push-Nachricht aufs Handy geschickt.
2. Was ist Docker?
Auf dem raspip5 laufen 11 Programme gleichzeitig. Damit die sich nicht gegenseitig stören, nutzen wir Docker. Docker packt jedes Programm in einen eigenen „Container" — ein abgeschlossenes Päckchen mit allem, was das Programm zum Laufen braucht.
Das ist vergleichbar mit Apps auf dem Smartphone: Jede App läuft für sich, hat ihre eigenen Daten und kann unabhängig aktualisiert werden. Genau so funktionieren Docker-Container.
| Begriff | Einfach erklärt |
|---|---|
| Container | Ein fertig gepacktes Programm, das unabhängig läuft |
| Docker Compose | Die „Startliste" — beschreibt, welche Container laufen sollen |
| Image | Die Vorlage, aus der ein Container erstellt wird (wie eine App im App-Store) |
3. Welche Dienste laufen?
Auf dem raspip5 (11 Container)
| Dienst | Port | Was er tut |
|---|---|---|
| Home Assistant (HA) | 8123 | Smart-Home-Zentrale — Licht, Heizung, Sensoren, Automationen |
| Zigbee2MQTT (Z2M) | 8099 | Steuert Zigbee-Geräte (Thermostate, Lampen, Steckdosen) |
| Mosquitto | 1883 | MQTT-Broker — Nachrichtenbus für Smart-Home-Geräte |
| Matter Server | — | Unterstützung für Matter-fähige Smart-Home-Geräte |
| Pi-hole | 53/8080 | DNS-Werbeblocker für das Heimnetz |
| Sungrow-Exporter | 9789 | Liest Daten der Solaranlage aus |
| FritzBox-Exporter | 9787 | Liest Daten der FritzBox aus (Bandbreite, Verbindungsstatus) |
| Node-Exporter | 9100 | Liefert System-Metriken des Pi5 (CPU, RAM, Festplatte) |
| Blackbox-Exporter | 9115 | Prüft Erreichbarkeit von Diensten (Ping, HTTP) |
| Samba-TimeMachine | 445 | Netzwerk-Backup für macOS (Time Machine) |
| Duplicati | 8200 | Backup-Lösung für wichtige Daten |
CK-Monitoring (auf dem VPS sck-debian-nbg)
Das Monitoring der CK-Infrastruktur läuft seit dem 28. März 2026 auf einem VPS bei Hetzner (18 Container). Die wichtigsten Dienste dort:
| Dienst | Was er tut | Warum das wichtig ist |
|---|---|---|
| Sophos XGS Firewall-Monitoring | Überwacht beide Firewalls (Pferdebachstr. und Ruhrstr.) — CPU-Auslastung, Speicher, Datenverkehr | Du siehst, ob die Firewalls stabil laufen und wie viel Datenverkehr durch die Standorte fließt |
| Sophos WLAN Access Points | Prüft alle 13 WLAN-Access-Points an beiden Standorten auf Erreichbarkeit | Wenn ein AP ausfällt und in einem Bereich kein WLAN mehr geht, wird das sofort erkannt |
| Firewall-Logs | Sammelt die Protokolle beider Firewalls zentral ein (blockierte Verbindungen, Content-Filtering, Ereignisse) | Bei Problemen kann nachvollzogen werden, was passiert ist |
| Firewall-Backup | Sichert stündlich die Konfiguration beider Sophos-Firewalls | Falls eine Firewall ausfällt, kann die Konfiguration wiederhergestellt werden |
| Netzwerk- und Cloud-Pings | Prüft regelmäßig, ob wichtige Dienste erreichbar sind (Microsoft 365, Firewalls, WLAN-APs) | Ausfälle werden erkannt, bevor jemand sie bemerkt |
| Speedtest | Misst alle 6 Stunden die tatsächliche Internetgeschwindigkeit (Download, Upload, Ping) | Zeigt, ob der Anschluss die gebuchte Leistung liefert |
| Salto-Überwachung | Prüft, ob das Salto-Schließsystem (ProAccess Space) läuft — Server-Auslastung, Datenbank, aktive Verbindungen | Wenn das Schließsystem Probleme hat, erfährst du es frühzeitig |
| Alertmanager | Wertet Warnregeln aus und entscheidet, wer benachrichtigt wird | Sorgt dafür, dass Warnungen nicht doppelt oder zu oft kommen |
| ntfy (Push-Dienst) | Verschickt Push-Nachrichten ans Handy, wenn etwas nicht stimmt | Du bekommst Warnungen direkt auf dein Smartphone |
| Grafana | Zeigt alle gesammelten Daten als Diagramme und Übersichten | Die zentrale Anlaufstelle — siehe nächstes Kapitel |
| Gatus | Zeigt auf einen Blick, ob alle Dienste laufen (grün = OK, rot = Problem) | Schneller Überblick ohne Details |
4. Grafana — die Schaltzentrale
Was ist Grafana?
Grafana ist ein Dashboard-System — wie ein Cockpit, in dem du alle wichtigen Werte auf einen Blick siehst. Diagramme zeigen Verläufe über Stunden, Tage oder Wochen. So erkennst du Trends und Probleme sofort.
Zugang
| Variante | Adresse | Wann nutzen? |
|---|---|---|
| Von unterwegs | https://anknorr.ddnss.de | Wenn du nicht im Büro-WLAN bist |
| Direkt auf VPS | http://178.104.125.96:3000 | Alternative (VPS-IP) |
| Login | Benutzer: admin / Passwort: admin |
Die wichtigsten Dashboards
Hier sind die Dashboards, die für dich am nützlichsten sind:
Sophos XGS Firewall
Das zentrale Netzwerk-Dashboard. Es zeigt den Zustand beider Firewalls im direkten Vergleich — Pferdebachstr. (Standort A) und Ruhrstr. (Standort B).
Was sehe ich? - CPU- und Speicherauslastung beider Firewalls — Wie stark sind sie belastet? - Datenverkehr pro Netzwerk-Schnittstelle — Wie viele Daten fließen durch welche Leitung? - Standortvergleich — Beide Standorte nebeneinander, Auffälligkeiten sofort sichtbar
Was ist normal? | Wert | Normal | Auffällig | |------|--------|-----------| | CPU-Auslastung | unter 30 % | dauerhaft über 60 % | | Speicher | unter 70 % | über 85 % | | Datenverkehr | gleichmäßiger Verlauf | plötzliche Spitzen oder Totalausfall |
Tipp: Wenn eine Firewall deutlich stärker belastet ist als die andere, kann das auf ein Problem oder ungewöhnlich hohen Datenverkehr an einem Standort hindeuten.
Sophos WLAN Access Points
Zeigt die Erreichbarkeit aller 13 WLAN-Access-Points an beiden Standorten.
Was sehe ich? - Verfügbarkeit — Welche APs sind erreichbar (grün) und welche nicht (rot)? - Ping-Zeiten — Wie schnell antworten die Access Points? - Aufteilung nach Standort — Pferdebachstr. und Ruhrstr. getrennt dargestellt
Was ist normal? - Alle APs sollten grün sein (erreichbar) - Ping-Zeiten unter 10 ms - Wenn ein einzelner AP kurz rot aufblitzt, ist das meistens harmlos - Wenn mehrere APs an einem Standort gleichzeitig ausfallen, gibt es dort ein größeres Netzwerkproblem
Was bedeutet das für den Alltag? Wenn Mitarbeitende über WLAN-Probleme in einem bestimmten Bereich klagen, kannst du hier nachschauen, ob der zuständige AP läuft.
Sophos XGS Syslog
Zeigt die Echtzeit-Protokolle beider Firewalls — was passiert gerade im Netzwerk?
Was sehe ich? - Firewall-Regeln — Welche Verbindungen wurden erlaubt oder blockiert? - Content-Filtering — Welche Webseiten wurden gefiltert? - Ereignisse — Anmeldungen, Systemwarnungen, VPN-Verbindungen
Wann ist das nützlich? Wenn jemand meldet „Ich komme nicht auf eine bestimmte Webseite" oder „Mein Gerät hat kein Internet", kann hier nachgeschaut werden, ob die Firewall die Verbindung blockiert hat.
Netzwerk- und Cloud-Latenz
Was sehe ich? - Ping-Zeiten zu wichtigen Diensten (Microsoft 365, beide Firewalls, WLAN-APs) - DNS-Auflösung — Funktioniert die Namensauflösung an beiden Standorten? - HTTP-Checks — Sind Web-Dienste erreichbar?
Was ist normal? | Ziel | Normale Antwortzeit | |------|-------------------| | Microsoft 365 | 10–30 ms | | Firewalls (Pferdebachstr./Ruhrstr.) | 5–20 ms | | WLAN-Access-Points | 1–10 ms |
Was bedeutet es, wenn Werte rot sind? Einzelne rote Punkte sind meistens harmlos (kurze Netzwerkschwankung). Wenn ein Dienst dauerhaft rot ist, ist er nicht erreichbar — dann gibt es normalerweise auch eine Push-Nachricht.
Internetgeschwindigkeit
Was sehe ich? Drei Hauptwerte, gemessen alle 6 Stunden: - Download — Wie schnell Daten aus dem Internet kommen (in Mbit/s) - Upload — Wie schnell Daten ins Internet gehen (in Mbit/s) - Ping — Wie schnell das Internet antwortet (in Millisekunden)
Was ist normal? | Wert | Normal | Auffällig | |------|--------|-----------| | Download | 80–110 Mbit/s | Unter 50 Mbit/s | | Upload | 30–40 Mbit/s | Unter 20 Mbit/s | | Ping | 10–25 ms | Über 50 ms |
Tipp: Einzelne Ausreißer sind normal — erst wenn die Werte dauerhaft niedrig sind, stimmt etwas nicht.
Salto ProAccess Space
Was sehe ich? - Server-Status — Läuft der Salto-Server? CPU- und Speicherauslastung - Datenbank — Wie groß ist die Datenbank? Wie viele Anfragen? - Aktive Verbindungen — Wie viele Geräte sind mit dem System verbunden?
Was ist normal? - CPU-Auslastung: unter 50 % - Speicherauslastung: unter 80 % - Der Server sollte dauerhaft erreichbar sein — Ausfälle beeinträchtigen das Schließsystem
5. Gatus — Status auf einen Blick
Gatus ist die einfachste Übersicht: Es zeigt für jeden Dienst nur grün (läuft) oder rot (Problem). Gatus läuft auf dem VPS.
| Adresse | https://gatus-anknorr.ddnss.de |
| Login | keiner nötig (öffentlich) |
Es sind diverse Checks eingerichtet — darunter Firewalls, WLAN-APs, Internet und interne Dienste. Wenn alles grün ist, ist alles in Ordnung.
6. Benachrichtigungen (Alerts)
Wie funktioniert das?
Der VPS prüft alle 15 Sekunden, ob die überwachten Systeme normal laufen. Wenn ein Problem erkannt wird, passiert Folgendes:
- Prometheus erkennt den Fehler (z. B. „Firewall antwortet nicht")
- Alertmanager prüft, ob der Fehler länger als ein paar Minuten anhält
- ntfy schickt eine Push-Nachricht auf dein Handy
- Gleichzeitig geht eine E-Mail an Andreas
ntfy-App einrichten (iPhone)
- App „ntfy" aus dem App Store installieren
- Topic
monitoringabonnieren - Fertig — du bekommst jetzt Push-Nachrichten bei Problemen
Häufige Meldungen und was sie bedeuten
| Meldung | Bedeutung | Was tun? |
|---|---|---|
| Host unreachable (+ Gerätename) | Ein Gerät antwortet nicht mehr auf Pings (z. B. ein WLAN-AP oder eine Firewall) | Prüfen, ob das Gerät eingeschaltet ist. Ansonsten: Andreas kontaktieren |
| HTTP probe failed | Ein Webdienst ist nicht erreichbar | Kurz warten — oft löst sich das von selbst. Nach 10 Min. ohne Entwarnung: Andreas kontaktieren |
| High CPU | Ein Server oder eine Firewall ist stark ausgelastet | Normalerweise kein akuter Handlungsbedarf. Wenn es häufig vorkommt: Andreas informieren |
| Disk space low | Festplattenspeicher wird knapp | Andreas kontaktieren — muss aufgeräumt werden |
| WLAN AP down | Ein Access Point an einem Standort ist nicht erreichbar | Prüfen, ob das WLAN im betroffenen Bereich noch funktioniert. Andreas kontaktieren |
Was tun bei einer Warnung?
- Ruhe bewahren — die meisten Probleme lösen sich von selbst
- Nachricht lesen — Was ist betroffen? Seit wann?
- Abwarten — Kommt nach ein paar Minuten eine Entwarnung?
- Wenn nicht: Andreas kontaktieren (siehe unten)
7. Ansprechpartner & Hilfe
Bei technischen Problemen, Fragen zu Dashboards oder wenn eine Warnung kommt, die du nicht einordnen kannst:
Andreas Knorr — IT Creative Kirche - Telefon / WhatsApp: 0173 6167044 - E-Mail: andreas.knorr@creative-kirche.de
Andreas kann aus der Ferne auf den raspip5 und den VPS zugreifen und Probleme beheben.
Anhang: Photovoltaik-Monitoring (Beispiel Sungrow)
Als Beispiel für die Möglichkeiten des Monitoring-Systems überwacht der raspip5 bereits eine Sungrow-Solaranlage. Das Dashboard „Photovoltaik — Sungrow SH10RT" zeigt:
- Aktuelle Leistung — Wie viel Strom die Anlage gerade produziert (in Watt)
- Tagesertrag — Wie viel Energie heute erzeugt wurde (in kWh)
- Verlauf — Produktionskurve über den Tag (an sonnigen Tagen eine typische Glockenkurve)
Sollte in der Ruhrstr. eine Photovoltaikanlage installiert werden, lässt sich ein vergleichbares Monitoring einrichten — vorausgesetzt, der Wechselrichter kann über das Netzwerk abgefragt werden. So hätte die Leitung jederzeit Einblick in Leistung und Ertrag der Anlage.
Erstellt: 4. März 2026 — Aktualisiert: 31. März 2026 (Monitoring-Umzug auf VPS)