From a8602ea07cc1ff64962fcb53017b251665a87a07 Mon Sep 17 00:00:00 2001
From: James <clawd@noxware.de>
Date: Wed, 4 Feb 2026 00:00:09 +0100
Subject: [PATCH] auto-commit 2026-02-04: update USER.md, daily notes,
 experimenta-tailscale docs

---
 USER.md                                    |  1 +
 memory/2026-02-02.md                       | 22 +++++++++++
 memory/2026-02-03.md                       | 16 ++++++++
 memory/experimenta-tailscale-vpn-tunnel.md | 44 +++++++++++++++++++++-
 4 files changed, 82 insertions(+), 1 deletion(-)
 create mode 100644 memory/2026-02-03.md

diff --git a/USER.md b/USER.md
index 7053e89..c3f8b6e 100644
--- a/USER.md
+++ b/USER.md
@@ -49,6 +49,7 @@
 ## News Digest Präferenzen
 
 - **Wochentags (Mo-Fr):** Früh schicken, mit Pendler-Info zur Experimenta
+- **Fertigmachen:** Bastian braucht **45 Minuten** morgens bevor er losfährt
 - **Wochenende (Sa+So):** Erst um **8:00 Uhr**, **ohne** Pendler-Info (Bastian & Jasmin arbeiten nicht)
 
 ## Sprache
diff --git a/memory/2026-02-02.md b/memory/2026-02-02.md
index 8a11f7b..4e0e6d4 100644
--- a/memory/2026-02-02.md
+++ b/memory/2026-02-02.md
@@ -15,3 +15,25 @@
 ## Sonstiges
 - Internet auf air4 war über Nacht weg (Nachwirkung der WLAN-Experimente)
 - Neues Profilbild für James: Curious Fox 🦊
+- **Pendler-Info:** Bastian braucht **45 Minuten** zum Fertigmachen (nicht 40!)
+- Bastian nutzt CachyOS mit KDE Plasma/Wayland als Desktop-PC (cachyos in Tailnet)
+- Ghostty als Terminal installiert (Transparenz/Blur konfiguriert)
+- Claude Code hat jetzt ein echtes Skill-System (nicht mehr nur commands)
+- Bastian hat summarize-Skill für Claude Code erstellt/erstellen lassen
+- Krankmeldung Cron-Jobs gelöscht (Krankmeldung wurde abgeschickt)
+
+## Signal-Profilbild
+- Mehrere Varianten generiert: cute, tech, bold geometric
+- Finales Bild: james-curious-fox.jpg (von Bastian selbst generiert/ausgewählt)
+- Profilbild-Update via signal-cli JSON-RPC: `updateProfile` mit `avatar` Pfad
+
+## Headscale ACL-Policy (Detail)
+- Konzept: `group:allow` für gegenseitigen Zugriff (bam, heimdall, npm, glkvm, glkvm-pve)
+- xportal@ bleibt isoliert — Router kann keine bam-Geräte erreichen
+- Routes (192.168.222.0/24, 192.168.228.0/24) müssen explizit in ACL stehen
+- Route enable/disable in Headscale als Kill-Switch für den Tunnel
+- DERP-Server: Tailscale's öffentliche reichen (E2E-verschlüsselt)
+
+## Home Assistant
+- local_file camera Integration: Nicht mehr über YAML, nur über UI konfigurierbar
+- Bastian nutzt es für Snapshot-Anzeige (mollytor.jpg) — Cache-Problem gelöst
diff --git a/memory/2026-02-03.md b/memory/2026-02-03.md
new file mode 100644
index 0000000..ee9bd60
--- /dev/null
+++ b/memory/2026-02-03.md
@@ -0,0 +1,16 @@
+# 2026-02-03
+
+## Morgens
+- News-Briefing geliefert (Werktag)
+- Pendler-Info Cron-Job korrigiert: 40 → **45 Minuten** Fertigmachen
+- USER.md aktualisiert
+- Hausarzt-Erinnerung Cron-Job hat gefeuert (Mo 09:00)
+- Claude Code Usage gecheckt: Session 12%, Weekly 5% — alles grün
+
+## Offene Themen
+- **xPortal:** Tailscale verliert Login nach Reboot auf GL-MT3000 — noch ungelöst
+  - Vermutung: `tailscaled --cleanup` im init-script oder State-File Problem
+  - Nächster Debug: State-Datei nach Login prüfen, dann nach Reboot vergleichen
+- **Hausarzt:** Bastian soll heute anrufen (HNO erst März frei)
+  - Zweite Erinnerung Mi 09:00 falls nötig (Cron: hausarzt-mi-2026-02-05)
+- **Headscale Policy:** Noch nicht finalisiert (allow-all zum Testen aktiv)
diff --git a/memory/experimenta-tailscale-vpn-tunnel.md b/memory/experimenta-tailscale-vpn-tunnel.md
index 510c844..3993ed2 100644
--- a/memory/experimenta-tailscale-vpn-tunnel.md
+++ b/memory/experimenta-tailscale-vpn-tunnel.md
@@ -158,4 +158,46 @@ tailscale up --accept-routes
 
 ---
 
-*Erstellt: 2026-01-31*
+## Headscale Nodes & Users
+
+| Node | IP | User | Status |
+|------|-----|------|--------|
+| gl-mt3000 | 100.64.0.11 | xportal | online |
+| air4 | 100.64.0.5 | bam | online |
+| sp4c3 | 100.64.0.7 | bam | online |
+| heimdall | 100.64.0.4 | heimdall | online |
+| docker-intranet | 100.64.0.3 | npm | online |
+| glkvm-pve | 100.64.0.9 | glkvm-pve | online |
+
+## Headscale ACL-Policy (Entwurf)
+
+```json
+{
+  "groups": {
+    "group:allow": ["bam@", "heimdall@", "npm@", "glkvm@", "glkvm-pve@"]
+  },
+  "acls": [
+    { "action": "accept", "src": ["group:allow"], "dst": ["group:allow:*"] },
+    { "action": "accept", "src": ["bam@"], "dst": ["xportal@:*"] },
+    { "action": "accept", "src": ["bam@"], "dst": ["192.168.222.0/24:*", "192.168.228.0/24:*"] },
+    { "action": "accept", "src": ["xportal@"], "dst": ["xportal@:*"] }
+  ],
+  "ssh": [
+    { "action": "accept", "src": ["bam@"], "dst": ["*"], "users": ["bam", "root"] }
+  ]
+}
+```
+
+**Wichtig:** Routes müssen explizit in ACL stehen (nicht implizit über xportal@:*)
+**Kill-Switch:** Routes in Headscale deaktivieren reicht um Tunnel abzuschalten
+
+## Offene Probleme
+
+- **Tailscale Login nach Reboot:** GL-MT3000 verliert Login-State
+  - State-File: `/etc/tailscale/tailscaled.state` (korrekt konfiguriert)
+  - `tailscaled --cleanup` im init-script evtl. Ursache?
+  - Noch zu debuggen: State-Datei nach Login prüfen vs. nach Reboot
+
+---
+
+*Erstellt: 2026-01-31 | Aktualisiert: 2026-02-03*