---
wireguard_interface: wg0
wireguard_address: "10.8.0.1/24"
wireguard_port: 51820
wireguard_subnet: "10.8.0.0/24"

# DB portları — host ağında dinlenecek, sadece wireguard_subnet'ten erişilebilir
wireguard_db_pg_proxy_port: 5432
wireguard_db_mongo_proxy_port: 27017

# Her client için: name, public_key, allowed_ips
# group_vars/all/vars.yml içinde tanımlanır
wireguard_clients: []

# IP forwarding + firewalld policy — prod db-01 enables this
wireguard_enable_routing: false
wireguard_routed_subnet: ""   # prod: "10.20.20.0/24"