# Servicios

## Ruta principal

- `/home/vfadmin/`

## Stack principal

- `/home/vfadmin/docker-compose.yml`

## Contenedores activos de referencia documentados

- `mv_traefik`
- `mv_authentik_server`
- `mv_authentik_worker`
- `mv_authentik_db`
- `mv_whoami`
- `mv_logout_page`
- `mv_grafana_client1`

## Contenedor LoRaWAN documentado

- `mv_chirpstack_gateway_bridge`

## Servicios funcionales consolidados

### Traefik
Papel:
- frontal único
- routers
- middlewares
- provider file para `/control/*`

### Authentik
Papel:
- SSO
- MFA
- forward auth
- control de acceso por tenant

### Logout handler
Papel:
- cierre de sesión real bajo Auth Proxy

### Tenant Grafana
Papel:
- dashboard del cliente
- iframe a `/control/ui`
- publicación por subdominio del cliente

### Gateway Bridge
Papel:
- recibir tráfico UDP 1700 en OVH
- publicar por MQTT hacia `platform-40` por Tailscale

## Hardening consolidado

OVH quedó endurecido con:
- UFW
- Edge Network Firewall de OVH
- ajustes de SSH
- fail2ban
- desactivación de IPv6 en la fase trabajada

## Observaciones

- panel.mesavault.es se mantiene como panel base o pruebas, con recomendación de restringirlo a admins
- auth.mesavault.es es el dominio de Authentik
- clientX.panel.mesavault.es es el patrón de tenant cliente