WireGuard DNS-Fix: PiHole primaer, Stub-Resolver umgehen

- DNS in allen WireGuard-Configs: 10.47.11.20 (PiHole) + 10.47.11.1
  (Fritz!Box Fallback), redundantes PiHole auf .21 entfernt
- resolv.conf Symlink auf upstream statt stub (127.0.0.53), da
  systemd-resolved mit WireGuard DNS catch-all (~.) nicht funktioniert

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

setup-base.sh

@@ -161,6 +161,9 @@ if [[ -n "$REPO_DIR" && -f "$REPO_DIR/wireguard/m${MODEL}.conf" ]]; then
     cp "$REPO_DIR/wireguard/m${MODEL}.conf" /etc/wireguard/wg0.conf
     chmod 600 /etc/wireguard/wg0.conf
     systemctl enable wg-quick@wg0 2>/dev/null || true
+    # systemd-resolved Stub funktioniert nicht mit WireGuard DNS catch-all (~.)
+    # → resolv.conf direkt auf die upstream-Server zeigen lassen
+    ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf
     ok "WireGuard m${MODEL}.conf → /etc/wireguard/wg0.conf"
 else
     warn "WireGuard: keine lokale Config gefunden — manuell einrichten"