feat: Watchdog-Service für automatischen Health-Check und Recovery bei Service-Ausfall

docs/architektur.md

@@ -132,13 +132,16 @@ Das ermöglicht:
 ├── adguard-shield.sh              # Haupt-Monitor-Script
 ├── adguard-shield.conf            # Konfiguration (chmod 600)
 ├── adguard-shield.conf.old        # Backup der Konfig nach Update
+├── adguard-shield-watchdog.sh     # Watchdog Health-Check-Script
 ├── iptables-helper.sh             # iptables Verwaltung
 ├── external-blocklist-worker.sh   # Externer Blocklist-Worker
 ├── external-whitelist-worker.sh   # Externer Whitelist-Worker (DNS-Auflösung)
 └── unban-expired.sh               # Cron-basiertes Entsperren
 
 /etc/systemd/system/
-└── adguard-shield.service         # systemd Service (Autostart aktiv)
+├── adguard-shield.service         # systemd Service (Autostart aktiv)
+├── adguard-shield-watchdog.service # systemd Watchdog-Unit (oneshot)
+└── adguard-shield-watchdog.timer  # systemd Timer (alle 5 Min.)
 
 /var/lib/adguard-shield/
 ├── *.ban                          # State-Dateien aktiver Sperren
@@ -157,8 +160,8 @@ Der Installer (`install.sh`) bietet ein interaktives Menü und folgende Funktion
 
 | Befehl | Beschreibung |
 |--------|--------------|
-| `install` | Vollständige Neuinstallation (Abhängigkeiten, Dateien, Konfiguration, Service) |
-| `update` | Update mit automatischer Konfigurations-Migration und Service-Neustart |
+| `install` | Vollständige Neuinstallation (Abhängigkeiten, Dateien, Konfiguration, Service, Watchdog) |
+| `update` | Update mit automatischer Konfigurations-Migration, Watchdog-Aktivierung und Service-Neustart |
 | `uninstall` | Deinstallation mit optionalem Behalten der Konfiguration |
 | `status` | Installationsstatus, Version und Service-Status anzeigen |
 | `--help` | Hilfe und Befehlsübersicht |

docs/befehle.md

@@ -42,8 +42,9 @@ Beim Update passiert automatisch:
 2. Die bestehende Konfiguration wird als `adguard-shield.conf.old` gesichert
 3. Neue Konfigurationsparameter werden automatisch zur bestehenden Konfig hinzugefügt
 4. Bestehende Einstellungen bleiben **immer** erhalten
-5. Der systemd Service wird per `daemon-reload` neu geladen
-6. Der Service wird automatisch neu gestartet (falls er lief)
+5. Der systemd Service und Watchdog-Timer werden per `daemon-reload` neu geladen
+6. Der Watchdog-Timer wird automatisch aktiviert (falls noch nicht aktiv)
+7. Der Service wird automatisch neu gestartet (falls er lief)
 
 ### API-Verbindungstest nach Installation
 
@@ -86,6 +87,31 @@ sudo systemctl disable adguard-shield
 
 > **Hinweis:** Der Service wird bei der Installation automatisch für den Autostart beim Booten aktiviert. Nach einem Update wird der Service automatisch neu gestartet — ein manueller Neustart ist nicht nötig.
 
+## Watchdog (automatischer Health Check)
+
+Der Watchdog prüft alle 5 Minuten ob der Hauptservice läuft und startet ihn bei Bedarf automatisch neu. Er wird als systemd Timer betrieben und bei der Installation automatisch aktiviert.
+
+```bash
+# Watchdog-Status
+sudo systemctl status adguard-shield-watchdog.timer
+
+# Nächste geplante Ausführung anzeigen
+sudo systemctl list-timers adguard-shield-watchdog.timer
+
+# Watchdog aktivieren / deaktivieren
+sudo systemctl enable adguard-shield-watchdog.timer
+sudo systemctl disable adguard-shield-watchdog.timer
+
+# Watchdog starten / stoppen
+sudo systemctl start adguard-shield-watchdog.timer
+sudo systemctl stop adguard-shield-watchdog.timer
+
+# Watchdog-Logs anzeigen
+sudo journalctl -u adguard-shield-watchdog.service --no-pager -n 20
+```
+
+> **Hinweis:** Der Watchdog sendet automatisch Benachrichtigungen (falls `NOTIFY_ENABLED=true`), wenn er den Service wiederbeleben muss oder die Recovery fehlschlägt.
+
 ## Monitor — Verwaltungsbefehle
 
 Die folgenden Befehle dienen der **Verwaltung und Diagnose** und können jederzeit ausgeführt werden, auch während der Service läuft:

docs/benachrichtigungen.md

@@ -123,6 +123,24 @@ Bei Sperren aus der **externen Blocklist** werden Benachrichtigungen separat üb
 
 > 🔴 AdGuard Shield v0.7.0 wurde auf dns1 gestoppt.
 
+### Watchdog — Service wiederhergestellt
+**Überschrift:** 🔄 AdGuard Shield Watchdog
+
+> 🔄 AdGuard Shield Watchdog auf dns1
+> ---
+> Der Service war ausgefallen und wurde automatisch neu gestartet.
+> Versuch: 1
+
+### Watchdog — Recovery fehlgeschlagen
+**Überschrift:** 🚨 AdGuard Shield Watchdog
+
+> 🚨 AdGuard Shield Watchdog auf dns1
+> ---
+> Der Service konnte NICHT automatisch neu gestartet werden!
+> Manuelles Eingreifen erforderlich.
+> Fehlversuche: 1
+> Letzter Fehler: (systemd Statusausgabe)
+
 ### Sperre (Ban)
 **Überschrift:** 🚨 🛡️ AdGuard Shield
 

docs/tipps-und-troubleshooting.md

@@ -193,6 +193,37 @@ sudo rm -f /var/run/adguard-shield.pid
 sudo systemctl start adguard-shield
 ```
 
+### Service ist ausgefallen und startet nicht mehr
+
+Wenn systemd das Restart-Limit erreicht hat (z.B. `"Start request repeated too quickly"`), hilft der **Watchdog** — er prüft alle 5 Minuten ob der Service läuft und startet ihn automatisch neu.
+
+**Watchdog-Status prüfen:**
+```bash
+# Timer-Status anzeigen
+sudo systemctl status adguard-shield-watchdog.timer
+
+# Letzte Watchdog-Ausführungen anzeigen
+sudo systemctl list-timers adguard-shield-watchdog.timer
+
+# Watchdog-Logs prüfen
+sudo journalctl -u adguard-shield-watchdog.service --no-pager -n 20
+```
+
+**Manuelles Recovery (sofort):**
+```bash
+# systemd-Fehlerzähler zurücksetzen und Service starten
+sudo systemctl reset-failed adguard-shield.service
+sudo systemctl start adguard-shield.service
+```
+
+**Watchdog nachträglich aktivieren:**
+```bash
+sudo systemctl enable adguard-shield-watchdog.timer
+sudo systemctl start adguard-shield-watchdog.timer
+```
+
+> **Hinweis:** Der Watchdog sendet automatisch eine Benachrichtigung (falls `NOTIFY_ENABLED=true`), wenn er den Service wiederbeleben muss oder die Recovery fehlschlägt.
+
 ## Update durchführen
 
 ```bash
@@ -229,9 +260,13 @@ Oder manuell:
 ```bash
 sudo systemctl stop adguard-shield
 sudo systemctl disable adguard-shield
+sudo systemctl stop adguard-shield-watchdog.timer
+sudo systemctl disable adguard-shield-watchdog.timer
 sudo /opt/adguard-shield/iptables-helper.sh remove
 sudo rm -rf /opt/adguard-shield
 sudo rm -f /etc/systemd/system/adguard-shield.service
+sudo rm -f /etc/systemd/system/adguard-shield-watchdog.service
+sudo rm -f /etc/systemd/system/adguard-shield-watchdog.timer
 sudo systemctl daemon-reload
 ```
 

docs/update.md

@@ -35,8 +35,9 @@ Das Update-Script macht automatisch folgendes:
 2. **Scripts aktualisieren** — Alle `.sh`-Dateien werden nach `/opt/adguard-shield/` kopiert
 3. **Konfigurations-Migration** — Neue Parameter werden automatisch zur bestehenden Konfiguration hinzugefügt, bestehende Einstellungen bleiben **unverändert**
 4. **Backup erstellen** — Die alte Konfiguration wird als `adguard-shield.conf.old` gesichert
-5. **Service aktualisieren** — Die systemd Service-Datei wird aktualisiert und `daemon-reload` ausgeführt
-6. **Service neustarten** — Der Service wird automatisch neu gestartet (falls er vorher lief)
+5. **Service aktualisieren** — Die systemd Service-Datei und Watchdog-Dateien werden aktualisiert und `daemon-reload` ausgeführt
+6. **Watchdog aktivieren** — Der Watchdog-Timer wird automatisch aktiviert (falls noch nicht aktiv)
+7. **Service neustarten** — Der Service wird automatisch neu gestartet (falls er vorher lief)
 
 ### 3. Neue Parameter prüfen (optional)