protunelovani pg na wg rozhrani

.env.example

@@ -8,9 +8,10 @@
 # Lokálně na serveru jen přes SSH: nech výchozí (127.0.0.1) – EMS_PUBLIC_BASE může zůstat prázdné (default v compose).
 #
 # Přístup jen přes WireGuard: na serveru zjisti IP wg0, např. ip -4 addr show wg0
-EMS_FRONTEND_BIND=10.200.200.1          # IP WireGuard rozhraní serveru (ne veřejná IP)
-# EMS_PUBLIC_BASE=http://10.0.0.1:8080  # stejná báze jako v prohlížeči (bez koncového /)
-# Volitelně Caddy na wg0: pak EMS_PUBLIC_BASE=https://ems.internal a frontend bind nechat 127.0.0.1 + reverse_proxy v Caddy.
+# EMS_FRONTEND_BIND=10.0.0.1              # stejná IP jako wg0 serveru → UI na http://10.0.0.1:8080
+# EMS_PUBLIC_BASE=http://10.0.0.1:8080   # musí sedět s URL v prohlížeči (bez koncového /)
+# EMS_DB_BIND=10.0.0.1                    # volitelně: Postgres z klienta přes WG (host, port 5432, db ems)
+# Volitelně Caddy na wg0: EMS_PUBLIC_BASE=https://ems.internal; frontend bind 127.0.0.1 + reverse_proxy v Caddy.
 
 # ---- PostgreSQL ----
 DB_USER=ems_user

deploy/docker-compose.yml

@@ -2,8 +2,8 @@
 # Na serveru: kopíruje se do /opt/ems-deploy/docker-compose.yml (viz deploy/deploy.sh).
 # Cesty ./app/* jsou relativní k adresáři, kde leží tento soubor po zkopírování (/opt/ems-deploy).
 #
-# Jen přes WireGuard: v .env nastav EMS_FRONTEND_BIND na IP wg0 serveru (viz .env.example) a EMS_PUBLIC_BASE
-# na stejnou bázi URL, kterou otevřeš v prohlížeči (např. http://10.0.0.1:8080).
+# Jen přes WireGuard: v .env nastav EMS_FRONTEND_BIND + EMS_PUBLIC_BASE; pro psql/DBeaver z druhého stroje
+# také EMS_DB_BIND (stejná wg0 IP jako u frontendu), jinak je Postgres jen na 127.0.0.1.
 
 services:
 
@@ -17,7 +17,7 @@ services:
     volumes:
       - db_data:/var/lib/postgresql/data
     ports:
-      - "127.0.0.1:5432:5432"
+      - "${EMS_DB_BIND:-127.0.0.1}:5432:5432"
     healthcheck:
       test: ["CMD-SHELL", "pg_isready -U ${DB_USER} -d ems"]
       interval: 10s