Nextcloud lokal SSL Zertifikat verpassen, ohne das eigene Netzwerk zu verlassen...


Recommended Posts

Nach stundenlanger Recherche bin ich leider keinen Schritt weiter, weswegen ich hier mal direkt frage:

 

Ist es möglich, Nextcloud über Let's Encrypt/SWAG ein allgemein anerkanntes SSL Zertifikat zu verpassen, ohne dafür ständig den Umweg über einen DynDNS DIenst gehen zu müssen? Ich hab es geschafft, eine DuckDNS Domain zu verwenden, jedoch sehe ich wenig Sinn darin, jedes Mal aus meinem lokalen Netzwerk rauszufunken, nur um dann wieder hier lokal zu landen. Auch würde ich es gerne vermeiden, extra deswegen Portfreigaben einzustellen...

 

Was mir vorschwebt: Über den Nginx Proxy Manager lasse ich mir für eine lokale Domain/Adresse ein SSL Zertifikat erstellen, sodass die im Docker eingestellte benutzerdefinierte IP Adresse nicht mehr mit einem selbst-signierten Zertifikat daherkommt.

 

Ist so etwas technisch möglich? Ich stelle mir das so vor, dass ich im Browser "Nextcloud" eingebe und ich ohne irgendwie übers Internet zu gehen direkt lokal auf meiner Nextcloud-Instanz lande, welche gleichzeitig noch ein Let's Encrypt SSL Zertifikat hat, sodass ich auch bei manchen Synchronisierungs-Apps, die ich gerne ausprobrieren würde, keine Fehlermeldung mehr wegen dem selbst-signierten Zertifikat erhalte...

Link to comment

IPs können kein validiertes SSL Zertifikat besitzen. Let's Encrypt muss in der Lage sein deinen Server über eine Domain zu erreichen.

 

Das einzige was ginge, wäre alle IPs bis auf die von Let's Encrypt und lokale zu sperren. Dann kämen noch Anfragen aus dem Internet bis zum Proxy, der sie dann aber verwirft.

 

Oder man macht den Port immer nur kurz auf, damit Let's Encrypt das Zertifikat verlängern kann.

 

Ganz ohne ein Türchen aufzumachen geht es jedenfalls nicht. Außer man hat ein selbst signiertes Zertifikat, das man auf jedem Endgerät manuell installiert.

 

Link to comment
14 hours ago, mgutt said:

IPs können kein validiertes SSL Zertifikat besitzen. Let's Encrypt muss in der Lage sein deinen Server über eine Domain zu erreichen.

 

Das habe ich gestern auch gesehen. Selbst-signierte Zertifikate gehen dann aber?

 

Im Übrigen kam mir deswegen gestern auch der Gedanke, ob ich nicht intern eine "Domain hosten" könnte, aber da ich in der Hinsicht wirklich absoluter Laie bin, weiß ich schlicht nicht, ob so etwas überhaupt technisch möglich ist.

 

Quote

 

Das einzige was ginge, wäre alle IPs bis auf die von Let's Encrypt und lokale zu sperren. Dann kämen noch Anfragen aus dem Internet bis zum Proxy, der sie dann aber verwirft.

 

Das wäre wohl sehr aufwendig.

 

Quote

 

Oder man macht den Port immer nur kurz auf, damit Let's Encrypt das Zertifikat verlängern kann.

 

Ganz ohne ein Türchen aufzumachen geht es jedenfalls nicht. Außer man hat ein selbst signiertes Zertifikat, das man auf jedem Endgerät manuell installiert.

 

 

Der Gedanke kam mir gestern auch, aber sobald ich an der Fritzbox 80 und 443 zugemacht habe, ging nichts mehr über die duckdns Adresse. Im Übrigen bin ich mir aber auch nicht sicher, ob das Ganze bei mir richtig läuft, denn die interne IP Adresse, die ich dem Nextcloud Docker zugewiesen habe, hat weiterhin das selbst-signierte Zertifikat - wenn ich die Ports schließe kappe ich doch dann aber duckdns den Zugang, oder?

Edited by Pillendreher
Link to comment
1 minute ago, Pillendreher said:

ob ich nicht intern eine "Domain hosten" könnte

Ja das geht. Dazu braucht man einen lokalen DNS Server. Zb PiHole. Dort hinterlegt man irgendeine Domain und gibt ihr eine lokale IP. Auf die Art könnte man zb nextcloud.com auf seine eigene Cloud verlinken. Wobei man üblicherweise eher nextcloud.local oder so nimmt.

 

3 minutes ago, Pillendreher said:

aber sobald ich an der Fritzbox 80 und 443 zugemacht habe, ging nichts mehr über die duckdns Adresse

Ja, weil die Domain eine öffentliche IP besitzt. Deine Anfrage geht dann durch die Fritz Box Firewall und wird dann da wegen dem geschlossenen Port blockiert. Auch das lässt sich nur über einen lokalen DNS Server lösen. In Windows kannst du das zb mit der hosts Datei testen.

 

Diese DNS Server IP hinterlegt man dann in der Fritz!Box. Dadurch bekommt jeder Client in deinem lokalen Netz als Antwort die lokale IP. Aber was ist mit unterwegs? Da gäbe es diese Domain nicht. Oder nutzt du dann einen VPN?

Link to comment
15 hours ago, mgutt said:

alle IPs bis auf die von Let's Encrypt und lokale zu sperren

Die Idee hatte ich auch schon. Leider gibt es keine öffentlich verfügbaren Listen aller Letsencrypt Server. Wurde nie publiziert und die IPs ändern sich leider auch. Ich hab im Pfsense nen Geoblocking drin. Beim Sperren von Nordamerikanischen IPs funktioniert die Erneuerung der Certs leider nicht mehr. Desweiteren scheinen die Letsencrypt Server auch teils in anderen Ländern zu stehen. Die kontaktierte IP heraus zu bekommen war nicht das Problem. Bei der nächsten Erneuerung wird dann aber meist ne andere IP angesprochen. Ist nicht wirklich praktikabel da IP Freigaben zu konfigurieren, die wie bereits erwähnt, ja auch nicht fix sind und sich ändern können.

Link to comment
1 hour ago, bastl said:

Leider gibt es keine öffentlich verfügbaren Listen aller Letsencrypt Server. Wurde nie publiziert und die IPs ändern sich leider auch.

Verstehe. Man könnte aber das Unterverzeichnis (/.well-known/acme-challenge/) zur Verifizierung des Zertifikates vollständig freigeben. Also nur das und alles andere nur lokal.

Link to comment
3 hours ago, mgutt said:

Ja das geht. Dazu braucht man einen lokalen DNS Server. Zb PiHole. Dort hinterlegt man irgendeine Domain und gibt ihr eine lokale IP. Auf die Art könnte man zb nextcloud.com auf seine eigene Cloud verlinken. Wobei man üblicherweise eher nextcloud.local oder so nimmt.

 

Ah, interessant. Würde das mit Adguard Home auch gehen? Das habe ich seit ~zwei Wochen testweise laufen auf dem Server.  Geht das über die "Domain Umschreibungen"?

 

grafik.thumb.png.3ebc5b76255804ec6456d55633fd5152.png

 

Quote

 

Ja, weil die Domain eine öffentliche IP besitzt. Deine Anfrage geht dann durch die Fritz Box Firewall und wird dann da wegen dem geschlossenen Port blockiert. Auch das lässt sich nur über einen lokalen DNS Server lösen. In Windows kannst du das zb mit der hosts Datei testen.

 

Diese DNS Server IP hinterlegt man dann in der Fritz!Box. Dadurch bekommt jeder Client in deinem lokalen Netz als Antwort die lokale IP. Aber was ist mit unterwegs? Da gäbe es diese Domain nicht. Oder nutzt du dann einen VPN?

 

Extern ist dann wieder eine eigene Baustelle bei mir. Es wäre nicht schlecht, wenn ich etwa von der Arbeit aus auf meine Nextcloud zugreifen könnte, etwa wenn ich ein Dokument zufällig brauche, das lokal bei mir zuhause liegt. Dafür könnte ich theoretisch dann die duckdns domain zusätzlich nutzen, oder? Ansonsten würde ich wohl eine VPN Verbindung eingehen (bin gerade dabei, mich in die Thematik einzulesen), um auf den Server zuzugreifen.

 

EDIT:

 

Scheint wohl nicht so einfach zu sein.

 

DNS Umschreibung von "nextcloud.local" auf die interne IP endet in

 

Obtaining a new certificate
An unexpected error occurred:
The server will not issue certificates for the identifier :: Error creating new order :: Cannot issue for "nextcloud.local": Domain name does not end with a valid public suffix (TLD)

 

Wenn ich eine bekannte TLD anhänge und die DNS Umschreibung in Adguard ändere, kommt folgende Fehlermeldung:

 

http-01 challenge for nextcloud.local.org
Cleaning up challenges
Some challenges have failed.

 

Ich kann zwar im Nginx Proxy Manager das bereits vorhandene Zertifikat für die duckdns Adresse auswählen, aber dann kommt trotzdem nur das selbst signierte Zertifikat bei der Weiterleitung auf die IP-Adresse.

Edited by Pillendreher
Link to comment
56 minutes ago, Pillendreher said:

Geht das über die "Domain Umschreibungen"?

Dazu müsste mal einer der PiHole User was sagen. @Solaer  @Anym001 @Niaxa @Ford Prefect Weiß es einer von euch? Also wie man für eine Domain eine lokale IP über PiHole ausgeben lassen kann?

 

58 minutes ago, Pillendreher said:

Dafür könnte ich theoretisch dann die duckdns domain zusätzlich nutzen, oder? Ansonsten würde ich wohl eine VPN Verbindung eingehen (bin gerade dabei, mich in die Thematik einzulesen), um auf den Server zuzugreifen.

Naja entweder oder. Wenn du eh öffentlich darauf zugreifen willst über eine DDNS, dann brauchst du auch kein Umschreiben mit PiHole machen. Dann kämst du ja sowohl lokal als auch öffentlich über die öffentliche Domain / IP auf die Nextcloud. Willst du dagegen VPN nutzen, dann hätte der Server immer nur eine lokale IP und das Umschreiben per PiHole würde greifen. Da ist einfach die Frage was du machen willst.

 

1 hour ago, Pillendreher said:

DNS Umschreibung von "nextcloud.local" auf die interne IP endet in

 

Ja, ist ja auch richtig. Du kannst kein validiertes Zertifikat dafür bestellen. Es geht nur ein selbst erstelltes (self signed). Also nichts mit Lets Encrypt.

 

1 hour ago, Pillendreher said:

Ich kann zwar im Nginx Proxy Manager das bereits vorhandene Zertifikat für die duckdns Adresse auswählen, aber dann kommt trotzdem nur das selbst signierte Zertifikat bei der Weiterleitung auf die IP-Adresse.

"Bereits vorhanden", damit meinst du Lets Encrypt? Das ist nicht für andere Domains validiert, sondern eben nur für die eine DuckDNS Adresse. Du kannst kein Zertifikat auf fremde Domains übertragen. Dann wäre SSL nicht so sicher, wie es ist. Also entweder hast du eine Domain für die du ein Zertifikat bestellst oder du hast eine lokale Adresse mit einem self-signed Zertifikat. Dieses muss dann aber in jedem Endgerät gespeichert werden. Ansonsten bekommst du auch dann Fehlermeldungen.

 

Wenn dir das mit self-signed nichts sagt und du nicht weißt wie man diese in Endgeräten abspeichert, kann ich dir nur raten es über DuckDNS + Lets Encrypt Zertifikat zu lösen.

 

Alternativ geht es vielleicht über den unraid.net MyServer Dienst. Der hat meine ich ein Wildcard-Zertifikat hinterlegt, das man nicht mehr selbst validieren lassen muss. Dann könnte man lokal die unraid.net Domain auf seine lokale IP auflösen lassen. MyServers habe ich allerdings noch nicht verwendet. Müsstest du mal ausprobieren. Ich habe hier aber schon gelesen, dass man da wohl die lokale IP des Servers zurückbekommt:

https://forums.unraid.net/topic/105037-my-servers-access-unavailable/

 

Link to comment
20 hours ago, mgutt said:

Naja entweder oder. Wenn du eh öffentlich darauf zugreifen willst über eine DDNS, dann brauchst du auch kein Umschreiben mit PiHole machen. Dann kämst du ja sowohl lokal als auch öffentlich über die öffentliche Domain / IP auf die Nextcloud. Willst du dagegen VPN nutzen, dann hätte der Server immer nur eine lokale IP und das Umschreiben per PiHole würde greifen. Da ist einfach die Frage was du machen willst.

 

Das stimmt. Vielleicht liegt bei mir auch nur ein Denkfehler vor: Ich befürchte, dass beim Umweg über DuckDNS auch die Nextcloud-Synchronisierung immer einen Umweg geht. Oder dient die Nutzung der DuckDNS Domain nur soz. der "Wegweisung" und der Nextcloud-Client synchronisiert trotzdem ausschließlich intern?

 

Und was mir auch noch ein bisschen Sorgen macht: Ist es nicht so, dass man die Ports 80 und 443 eigentlich nie weiterleiten sollte?

 

20 hours ago, mgutt said:

 

Ja, ist ja auch richtig. Du kannst kein validiertes Zertifikat dafür bestellen. Es geht nur ein selbst erstelltes (self signed). Also nichts mit Lets Encrypt.

 

"Bereits vorhanden", damit meinst du Lets Encrypt? Das ist nicht für andere Domains validiert, sondern eben nur für die eine DuckDNS Adresse. Du kannst kein Zertifikat auf fremde Domains übertragen. Dann wäre SSL nicht so sicher, wie es ist. Also entweder hast du eine Domain für die du ein Zertifikat bestellst oder du hast eine lokale Adresse mit einem self-signed Zertifikat. Dieses muss dann aber in jedem Endgerät gespeichert werden. Ansonsten bekommst du auch dann Fehlermeldungen.

 

Wenn dir das mit self-signed nichts sagt und du nicht weißt wie man diese in Endgeräten abspeichert, kann ich dir nur raten es über DuckDNS + Lets Encrypt Zertifikat zu lösen.

 

Ich könnte das wohl in meinen Geräten abspeichern, aber aufwendig wäre das schon...

 

20 hours ago, mgutt said:

 

Alternativ geht es vielleicht über den unraid.net MyServer Dienst. Der hat meine ich ein Wildcard-Zertifikat hinterlegt, das man nicht mehr selbst validieren lassen muss. Dann könnte man lokal die unraid.net Domain auf seine lokale IP auflösen lassen. MyServers habe ich allerdings noch nicht verwendet. Müsstest du mal ausprobieren. Ich habe hier aber schon gelesen, dass man da wohl die lokale IP des Servers zurückbekommt:

https://forums.unraid.net/topic/105037-my-servers-access-unavailable/

 

 

Wollte ich gerade ausprobieren, aber obwohl ich "unraid.net" bei DNS Rebinding in der Fritzbox eingetragen habe, kriege ich ständig die Fehlermeldung:

 

"Sorry, an error occurred in processing your SSL certificate. The error is: Your router or DNS server has DNS rebinding protection enabled, preventing"

 

Ich teste später noch einmal, ob es funktioniert.

Link to comment
On 4/4/2021 at 11:35 AM, Pillendreher said:

Ich befürchte, dass beim Umweg über DuckDNS auch die Nextcloud-Synchronisierung immer einen Umweg geht. Oder dient die Nutzung der DuckDNS Domain nur soz. der "Wegweisung" und der Nextcloud-Client synchronisiert trotzdem ausschließlich intern?

 

Grob gesagt ist eine Domain einfach nur ein leicht zu merkender Ersatz für eine IP-Adresse. Öffnen wir also eine Domain im Browser, gehen die Daten immer nur zu einer IP.

 

Wenn du nun eine DuckDNS Domain mit der IP deines Internetanschlusses fütterst, geht der Datenverkehr also zu deinem Internetanschluss bzw um genau zu sein zu deinem Router.

 

Eventuell dachtest du nun, dass wenn du zu Hause bist, dass die Daten erst mal ins Internet gehen und dann zurück zu dir nach Hause kommen? Tatsächlich passiert das auch "fast" so. Allerdings erkennt dein Router, dass das Ziel er selbst ist und leitet die Pakete an sich selbst zurück. Diese Funktion nennt man NAT Loopback. Der Router leitet die Pakete als nicht ins Internet, sondern lässt sie einem "im Kreis laufen".

 

Übrigens beherrscht nicht jeder Router NAT Loopback. Fritz!Boxen können das zB. Andere Router sind "verwirrt" und verstehen nicht, dass der Traffic an sie zurück geht und geben einen Fehler zurück.

 

Auch noch interessant: NAT Loopback benötigt man nur für IPv4. Unterstützt das Netzwerk IPv6 (und der Server und der Client), dann entspricht die öffentliche IPv6 der Adresse des Servers (nicht des Routers) und die Daten gehen direkt zu dem Server.

Link to comment
1 hour ago, mgutt said:

Eventuell dachtest du nun, dass wenn du zu Hause bist, dass die Daten erst mal ins Internet gehen und dann zurück zu dir nach Hause kommen? Tatsächlich passiert das auch "fast" so. Allerdings erkennt dein Router, dass das Ziel er selbst ist und leitet die Pakete an sich selbst zurück. Diese Funktion nennt man NAT Loopback. Der Router leitet die Pakete als nicht ins Internet, sondern lässt sie einem "im Kreis laufen".

Ja, genau das war mein Gedanke. Grob gesagt habe ich mir das so vorgestellt:

 

Laptop möchte sich mit Nextcloud synchronisieren => Router => DuckDNS => Router => Unraid

 

Wenn dem aber nicht so ist, ist das Ganze ja aber kein Problem.

 

My Servers funktioniert übrigens mittlerweile; dadurch wird mir dann aber der 443 Port blockiert. Ich werde jetzt mal einerseits über einen Reverse Proxy Nextcloud offenlassen (damit ich auch in der Arbeit kurz das WebIF aufrufen kann, sobald ich etwas brauche) und mich ansonsten mal in Wireguard einlesen.

 

Was bietet sich denn zum eigenen Schutz noch an, wenn man für Nextcloud die Ports öffnet? Ich kann ja soweit ich das verstehe gar keine anderen als 80/443 extern weiterleiten, oder?

Link to comment
47 minutes ago, Pillendreher said:

My Servers funktioniert übrigens mittlerweile; dadurch wird mir dann aber der 443 Port blockiert.

Ich vermute du hast Nextcloud mit dem Netzwerk bridge oder host gestartet? Dann starte es mit br0. Dann kannst du Nextcloud eine eigene IP geben und dort lauscht dann Nextcloud auch wieder auf 80 oder 443. Je nachdem welchen Nextcloud-Container du verwendest. Du kannst aber auch einen Proxy Container auf die Art installieren und den Traffic an Nextcloud weiterreichen. So wie du es lieber magst.

 

51 minutes ago, Pillendreher said:

Was bietet sich denn zum eigenen Schutz noch an, wenn man für Nextcloud die Ports öffnet?

Sobald du Ports an deinem Router öffnest, ist kein Schutz mehr da. Es könnte der Unraid Server eine Lücke haben, Docker oder der Nextcloud Container. Kompletten Schutz hat man nur mit einem VPN. Der hat dann aber den Nachteil, dass man nicht mit Dritten Dateien teilen kann (weil die ja nicht in dein lokales Netz können). In einem anderen Thread hatten wir deswegen schon über eine IP Firewall nachgedacht, die nur deutsche/österreichische IPs durchlässt. Kompletter Schutz ist aber auch dann nicht möglich. Einen Tod muss man immer sterben ;)

Link to comment
16 hours ago, Pillendreher said:

Was bietet sich denn zum eigenen Schutz noch an, wenn man für Nextcloud die Ports öffnet?

 

Ein weiterer Schutz wäre, wenn man ein eigenes Docker Netzwerk für die entsprechenden Container aufmacht. (So wie es @mgutt mal getestet hat)

Sollte ein Angreifer alle Schutzmechanismen überwinden (Proxy, Nextcloud selbst, regionales IP Blocking), dann würde er ja "nur" die Container sehen bzw. angreifen können, die in diesem Netzwerk sind. @mgutt Sehe ich das so richtig? 

 

Und wie hoch ist die Wahrscheinlichkeit wirklich für ein solches Szenario...

Link to comment
1 hour ago, Anym001 said:

dann würde er ja "nur" die Container sehen bzw. angreifen können, die in diesem Netzwerk sind.

Richtig. Solange die Lücke "nur" in einem der Container ist, ist der Angreifer dort gefangen. Außer er schafft es aus Docker auszubrechen oder man hat eine fatale Lücke in einer anderen Komponente des Servers. Ich erinnere an Heartbleed:

https://de.wikipedia.org/wiki/Heartbleed

 

 

Deswegen ist IP-Whitelisting auch nicht verkehrt damit man vielleicht gar nicht erst im Fokus der Angreifer liegt. Ich erinnere an die Werbung.

  • Like 1
Link to comment
6 hours ago, Pillendreher said:

Und dieses Netzwerk erstelle ich stinknormal mit "docker network create"?

Genau. Ein neues internes Netz mit eigener IP-Range:

https://forums.unraid.net/topic/101603-vlan-und-isolierung-von-docker-containern/page/2/?tab=comments#comment-938144

 

 

Dieses Netzwerk habe ich dann beim Nextcloud Container ausgewählt und eine feste IP vergeben. Danach habe ich den NPM Container, der auf Bridge lief, mit dem Befehl mit dem Netzwerk verbunden:

 

docker network connect nextcloud_internal NginxProxyManager

 

Und in NPM habe ich den Traffic an die interne IP des Nextcloud Containers weiterleiten lassen. Außerdem wie im Link zu lesen, habe ich noch eine iptables Regel hinzugefügt. Ich muss aber noch weiter probieren, um das zu verfeinern.

Link to comment
5 hours ago, mgutt said:

Und in NPM habe ich den Traffic an die interne IP des Nextcloud Containers weiterleiten lassen.

 

MariaDB + OnlyOffice + alle anderen Container, die über NPM angesprochen werden -> müssten dann ins internal network oder?

Und über die interne IP+Port verbinden, falls vorhanden? (anstatt die Unraid IP + Port) -> zB config.php von Nextcloud, die auf die IP+Port von MariaDB zeigt

Link to comment

Genau. Alles was nicht von außen erreichbar sein soll, kommt ins interne Netz und ist auch nur über die interne IP ansprechbar.

 

Das was ich noch nicht recherchiert habe: Wie kann man dem Nextcloud Container erlauben die Domain nextcloud.com zu erreichen, damit er Apps laden kann.

Link to comment
7 minutes ago, Anym001 said:

Läuft dieser Traffic nicht auch über NPM?

Nein. NPM ist nur für die eingehenden Verbindungen. Ausgehend erreichen sich die Container nur über deren interne IPs. Die Frage wäre ob man innerhalb vom Nextcloud Container die Domain nextcloud.com auf die interne IP von NPM auflösen lassen könnte und NPM macht einen Proxy Forward nach außen zur eigentlichen nextcloud.com Website?!

 

Wobei ich diese Einschränkung gar nicht so schlimm finde. Denn wenn jemand Apps installieren können soll, dann ist es der Admin und der kann ja kurz Nextcloud auf Bridge oder br0 umstellen, die App installieren und dann das Netzwerk wieder zurück auf das interne Netz stellen.

Link to comment
1 hour ago, mgutt said:

Die Frage wäre ob man innerhalb vom Nextcloud Container die Domain nextcloud.com auf die interne IP von NPM auflösen lassen könnte und NPM macht einen Proxy Forward nach außen zur eigentlichen nextcloud.com Website?!

 

Das wäre interessant ob das geht.

Habe allerdings noch nichts dazu gefunden. 

 

Hat hier vielleicht jemand eine Idee?

 

1 hour ago, mgutt said:

Wobei ich diese Einschränkung gar nicht so schlimm finde. Denn wenn jemand Apps installieren können soll, dann ist es der Admin und der kann ja kurz Nextcloud auf Bridge oder br0 umstellen, die App installieren und dann das Netzwerk wieder zurück auf das interne Netz stellen.

 

Naja um Apps installieren zu können (zumindest bei bestehenden), muss ich zuerst wissen ob es eine neue Version gibt. 

Und wenn der Container nicht mit nextcloud.com kommunizieren kann, erfahre ich das gar nicht. 

Link to comment
1 hour ago, Pillendreher said:

In der Zwischenzeit habe ich heute zufällig rausgefunden, dass ich über die "MyFritz" APP auch eine VPN Verbindung zur Fritzbox herstellen kann, sodass ich noch eine Alternative zu Wireguard über den Unraid Server habe :)

Stimmt. Das geht auch. Ich nutze auch noch ZeroTier. Da installiert man sich einen Container auf dem Server und die App auf dem Handy oder PC. Das geht auch ohne Port Forwarding.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.