agent
7de05c8591
Decisión del operador: el bus se expone a internet protegido por auth+TLS (WireGuard pasa a ser una vía más, no la barrera). ufw en om abre 8470/4250; el server cert lleva SAN con la IP pública 135.125.201.30 + la IP WG 10.42.0.1 + hostname; los clientes controlados embeben el ca.crt propio (sin Let's Encrypt). La fase de despliegue 0001f la ejecuta el humano; el agente entrega 0001a-0001e.