Server Absichern vom Heimnetz


Encore
Go to solution Solved by Ford Prefect,

Recommended Posts

Hey zusammen,

 

erstmal zum ist Zustand und was für Hardware ich nutze / habe:

 

- unRaid OS Plus

I9 9900k

48GB Ram

rtx3090 (nem Miner billig abgekauft)

1x 4TB Parity 1x 4TB Array 1x 1 TB Array 1x 2 TB Array 

2x 512GB NVME Cache

MPG Z390 GAMING PRO CARBON (MSI)

USB PCIe 4 Port

 

Fritzbox 7590

SVDSL 250/40 (down/up)

 

---

Was ich noch rumliegen hab:

Fritzbox 1750E Repeater

TP Link  TLSG108E V4.0

Raspberry Pi 4 4gb

1x USB Gbit Nic

 

 

Aktuell betreibe ich auf meinem Unraid mehrere Docker - u.A nextcloud, adguard, pterodactyl panel + wings (Gamehost Panel) etc.

 

Nun würde ich das ganze aber ein wenig "absichern" wollen, SOLLTE jemand in zb die Nextcloud kommen oder in eine andere VM / Container, dieser nicht direkt mein gesamtes Heimnetz ausspionieren / angreifen kann.

 

Mein Gedanke war zuerst, ein externes modem zu holen, einen minipc mit 4 ports + pfsense + externen AP etc..

Da mein Unraid 2 Zimmer entfernt von der TAE steht und ich kein Patchkabel quer durch die Wohnung legen kann / darf (WAF (Wife Acceptance factor).

 

Nun war meine Idee, ob man das ganze irgendwie mit meinen bestehenden mitteln absichern kann

Mir geistert da was von OpenWRT aufm PI + usb nic , der dann an den VLAN fähigen Switch hängt der am LAN des 1750E hängt oder irgendwas in der schiene.

 

So das ich weiterhin meine Fritzbox fürs heimnetz nutzen kann, die Container /VMs welche von Außen zugreifbar sind aber "abgeschottet" von meinem restlichen netz sind..

 

das ganze muss nicht b is ins kleinste Detail perfekt sein, aber zumindest mal ein wenig besser als aktuelle ist situation:

 

hängt alles in getrennten docker netze, mit portfreigaben in der fritzbox zum unraid host selbst hin..

 

 

hat jemand ein paar gedankengänge / guides für mich, was ich da ambesten basteln könnte um ein wenig sicherheit zu bekommen ? :D 

 

achja: nutze mein Haupt Windows auch virtualisiert, dafür sind 2x nvmes durchgeschliffen, dh auf dem unraid läuft auch noch mein Windoof :) mit der RTX im passtrough - falls relevant

Edited by Encore
Link to comment

...um das "abzusichern" würde ich alle Dienste in eine geeignete Anzahl VLANs "verbannen"/aufteilen.

Die Inter-VLAN Kommunikation muss dann über einen Router laufen.

Die Fritz kann sowas nicht.

Der rPi hat je nach Anwendungsfall zu wenig Bumms.

Du könntest openWRT oder eine Sense oder einen Mikrotik CHR als VM laufen löassen.

Am besten dafür noch eine Intel i350-T2/T4 NIC in unraid rein und 2 oder 3 Ports an die Router VM durchreichen

Den Switch für die VLANs entsprechend konfigurieren (der ist doch smart managed, oder?).

Besser als eine Router VM ist aber ein kleiner, echter Router.

  • Like 1
Link to comment
3 hours ago, Ford Prefect said:

...um das "abzusichern" würde ich alle Dienste in eine geeignete Anzahl VLANs "verbannen"/aufteilen.

Die Inter-VLAN Kommunikation muss dann über einen Router laufen.

Die Fritz kann sowas nicht.

Der rPi hat je nach Anwendungsfall zu wenig Bumms.

Du könntest openWRT oder eine Sense oder einen Mikrotik CHR als VM laufen löassen.

Am besten dafür noch eine Intel i350-T2/T4 NIC in unraid rein und 2 oder 3 Ports an die Router VM durchreichen

Den Switch für die VLANs entsprechend konfigurieren (der ist doch smart managed, oder?).

Besser als eine Router VM ist aber ein kleiner, echter Router.


würde ungern ein externes Modem mir zulegen müssen um die externe Firewall richtig einzubinden 

 

wäre es theoretisch machbar auf dem pi 4

openwrt zu installieren mittels usb nic zu arbeiten ?

 

also wan an den repeater der das Internet dann von der FRITZ!Box nimmt 

 

den usb nic dann an den Switch und dann vom Switch ins unraid und dort via vlans arbeiten ?

 

vpn würde auf unraid selbst laufen da macht das fehlende aes ni vom pi nichts 

 

Stehe da aktuell im Kopf noch aufm Schlauch 

 

wenn ich nen i350 kaufe wie müsste ich das dann aufbauen so das ich die FRITZ!Box fürs private Netz weiter nutzen kann? 
und bei bedarf ich bestimmte Dienste auch erreiche aber umgekehrt die nicht das Heimnetz 

 

ja der Switch kann vlans Trunk Groups usw 

 

stehe da noch bisschen auf dem Schlauch, wenig bis garkeine Erfahrung bisher mit vlans .. :/

 

 

würde zb wollen das meine Windows vm im privaten Netz hängt und die Container welche öffentlich erreichbar sind in eine dmz? 
 

quasi ziel:

 

FRITZ!Box steht im Schlafzimmer 

 

im Büros ist der Fritz 1750e mit nem lan Anschluss 

im selben Raum wie der repeater ist der Switch und der unraid Server.

 

Ziel wäre ohne ein Modem kaufen zu müssen (damit ne Pfsense zb ppoe usw macht )

 

das tv Handys usw usw im Netz der FRITZ!Box sind 

sowie meine Windows vm

 

contsiner Nextcloud usw in einem abgeschotteten Bereich 

ich aber vom Netz der FRITZ!Box drauf zugreifen kann aber umgekehrt nicht.

 

der Server läuft 24/7 

 

Stehe da vl in Gedanken extrem auf dem Schlauch 

ein i350 würde ich mir noch kaufen zur Not falls zwingend notwendig 

 

dachte sei ggfls mit dem pi openwrt und dem usb nic auch umsetzbar 

 

aber vl hast du eine detailliertere Umsetzungsidee :) 

 

muss nicht total ins Detail gehen aber vlans setzen usw hab ich bisher nie gebraucht da mangelts mir an Erfahrung . 

Link to comment
6 hours ago, Encore said:


würde ungern ein externes Modem mir zulegen müssen um die externe Firewall richtig einzubinden 

...nein, es geht auch nicht um ein Modem, sondern um einen Router (und Switch, aber den hast Du ja schon)....die Fritz soll schon drin bleiben.

 

unraid und Switch können VLANs und damit kannst Du die Netze separieren.

VLAN bedeutet, dass Du auf einer physischen Infrastruktur (zB einem LAN-Kabel/Port) mehr als ein Ethernet gleichzeitig nutzen/fahren kannst.

Das bedeutet aber auch, dass sich im Zweifel mehrere (v)LANs die physische Bandbreite teilen müssten.

Um das möglichst zu verhindern, nutzt man die VLAN Funktion im Switch, um dIe Ports auf VLANs aufzuteilen und jedes Gerät am Switch am besten einen Port mit voller Bandbreite erhält. Damit können alle Geräte im gleichen VLAN immer noch mit voller Bandbreite über den Switch kommunizieren.

 

Dein unraid hat aber nur einen Port auf dem MB.

Wenn Du also VLANs aktivierst, wird dieser evtl. zum Bottleneck.

Es wäre daher gut, noch eine oder zwei weitere Netzwerkkarten, die dann in einem Bond laufen, einzubauen.

 

6 hours ago, Encore said:

wäre es theoretisch machbar auf dem pi 4

openwrt zu installieren mittels usb nic zu arbeiten ?

Theoretisch/technisch ja, aber genau das wird wenig bis keinen Spass machen.

VLANs sogen für die Trennung (siehe oben).

 

Was Du danach willst ist aber gezielt und kontrolliert dann wieder eine Kopplung der Kommunikation herbeizuführen/zuzulassen.

Das bedeutet, dass Du einen Router brauchst, dessen Firewall diese Regeln umsetzt.

Eine Fritte kann keine VLANs und die Firewall ist nicht in diesem Ausmaß konfigurierbar, scheidet also dafür aus.

Ein openWRT könnte das. Das Routing und die Firewall benötigt aber Ressourcen (CPU/RAM).

 

Der rPi hat maximal zwei Ports und ob diese überhaupt einen GBit-Link auslasten könnten, inkl. der weiures benötigten Ressorcen für Firewall/Routing halte ich für fraglich. 

Daher die Idee eine Router-VM zu nehmen oder besser gleich einen dedizierten Router der sowas kann (ein x86er für eine dedizierte pfsense oder openWRT wäre seht teuer, es gibt da günstige Fertiggeräte).

 

In einer VM kannst Du virtuelle Netzwerk-Adapter nutzen (jedes VLAN bekommt ein Beinchen in der VM) aber auch hier wären echte Ports wieder besser um die Trennung "sauber" zu machen. daher die Idee einer Quad-Nic (die braucht eh einen (x4) Slot).  das reicht für die Router VM und den unraid Bond.

 

6 hours ago, Encore said:

also wan an den repeater der das Internet dann von der FRITZ!Box nimmt 

 

den usb nic dann an den Switch und dann vom Switch ins unraid und dort via vlans arbeiten ?

...von einem repeater war bisher keine Rede.

 

6 hours ago, Encore said:

 

vpn würde auf unraid selbst laufen da macht das fehlende aes ni vom pi nichts 

...ein externer Router kann auch das

 

6 hours ago, Encore said:

 

Stehe da aktuell im Kopf noch aufm Schlauch 

 

wenn ich nen i350 kaufe wie müsste ich das dann aufbauen so das ich die FRITZ!Box fürs private Netz weiter nutzen kann? 
und bei bedarf ich bestimmte Dienste auch erreiche aber umgekehrt die nicht das Heimnetz 

siehe oben.

 

6 hours ago, Encore said:

ja der Switch kann vlans Trunk Groups usw 

gut....leider nur 8 Ports 🤔

 

6 hours ago, Encore said:

stehe da noch bisschen auf dem Schlauch, wenig bis garkeine Erfahrung bisher mit vlans .. :/

würde zb wollen das meine Windows vm im privaten Netz hängt und die Container welche öffentlich erreichbar sind in eine dmz? 

ja, so in der Art...eine echte DMZ wird das aber nie, da private IPs Verwendung finden (müssen), zumindest bei ipv4.

 

6 hours ago, Encore said:

quasi ziel:

 

FRITZ!Box steht im Schlafzimmer 

 

im Büros ist der Fritz 1750e mit nem lan Anschluss 

im selben Raum wie der repeater ist der Switch und der unraid Server.

 

Ziel wäre ohne ein Modem kaufen zu müssen (damit ne Pfsense zb ppoe usw macht )

 

das tv Handys usw usw im Netz der FRITZ!Box sind 

sowie meine Windows vm

 

contsiner Nextcloud usw in einem abgeschotteten Bereich 

ich aber vom Netz der FRITZ!Box drauf zugreifen kann aber umgekehrt nicht.

Ja, das Heimnetz bleibt wie es ist.

Hast Du noch smarte WiFi Geräte oder ein Gast-WLAN, welches ja auch in ein VLAN "verbannt" werden sollte?...das wird mit Deiner Fritz/AVM Infrastruktur wieder schwieriger.

Zumal die Fritz nicht am Platz des Switch steht und man daher Gast-an-LAN4 nicht verwenden kann.

Der Repeater verkompliziert die Sache zusätzlich und ist auch wieder Bottleneck.

 

Ich nehme an, Du hast für den VPN-Container in der Fritz den unraid Host als "exposed host" eingetragen oder die IP des VPN-Containers bzw. eine dedizierte Portweiterleitung gemacht? Da die Fritz keine VLANs kann, kann sie eine Weiterleitung nur auf eine IP im Heimnetz machen. Der Container sollte aber eigentlich *nicht* im Heimnetz sein, sondern in einem eigenen VLAN (mit einem anderen IP-Segment), genau wie die Dienste von nextcloud usw.

 

...über welchen VPN-Container reden wir... Wireguard, OVPN, zerotier, ... und ist der dafür da, dass sich Andere bei Dir einwählen? Sind das "gute Bekannte", also kannst Du das VPN vorgeben und welchen Client/App die verwenden sollen?

Hast Du noch einen VPN-Client Container am Start, zB NordVPN, PIA o.ä?

 

6 hours ago, Encore said:

der Server läuft 24/7 

 

Stehe da vl in Gedanken extrem auf dem Schlauch 

ein i350 würde ich mir noch kaufen zur Not falls zwingend notwendig 

 

dachte sei ggfls mit dem pi openwrt und dem usb nic auch umsetzbar 

siehe oben.

 

6 hours ago, Encore said:

aber vl hast du eine detailliertere Umsetzungsidee :) 

 

muss nicht total ins Detail gehen aber vlans setzen usw hab ich bisher nie gebraucht da mangelts mir an Erfahrung . 

...die VLANs an sich sind nicht das Problem, sondern das anschliessende Routing und Firewall-Regeln und "flüssig" soll es ja auch sein.

 

  • Like 1
Link to comment
4 hours ago, Ford Prefect said:

Der rPi hat maximal zwei Ports und ob diese überhaupt einen GBit-Link auslasten könnten, inkl. der weiures benötigten Ressorcen für Firewall/Routing halte ich für fraglich. 

Daher die Idee eine Router-VM zu nehmen oder besser gleich einen dedizierten Router der sowas kann (ein x86er für eine dedizierte pfsense oder openWRT wäre seht teuer, es gibt da günstige Fertiggeräte).

 

welchen router würdest du als alternative empfehlen?

Habe mal bisschen geschaut, der Pi 4 hat 4gb ram, ne schnellere CPU(APU) als die meisten ARM basierten router die ich gefunden habe, sowie gigabit lan (der soll auch das gigabit wohl schaffen) sowohl ein einzeln angebundener USB3 port, welcher laut Netz an die 5gbs rankommt und somit auch den usb nic voll ausreizen könnte?

 

4 hours ago, Ford Prefect said:

In einer VM kannst Du virtuelle Netzwerk-Adapter nutzen (jedes VLAN bekommt ein Beinchen in der VM) aber auch hier wären echte Ports wieder besser um die Trennung "sauber" zu machen. daher die Idee einer Quad-Nic (die braucht eh einen (x4) Slot).  das reicht für die Router VM und den unraid Bond.

 

da hätte ich aber dann das problem, dass wenn aus irgendwelchen gründen die VM nicht startet ich auch nicht mehr auf unraid selbst komme, oder?

also mich nicht mehr auf die GUI einloggen kann / allgemein verwalten?

4 hours ago, Ford Prefect said:

...von einem repeater war bisher keine Rede.

der dient auch quasi nur dazu um das Internet vom "Schlafzimmer" - wo die Fritzbox steht + TAE ins Büroi zu bringen :) Quasi "Fritzbox -----wlan ---- 1750E Repeater (mit eigener LAN Buchse)

 

4 hours ago, Ford Prefect said:

Hast Du noch smarte WiFi Geräte oder ein Gast-WLAN, welches ja auch in ein VLAN "verbannt" werden sollte?...das wird mit Deiner Fritz/AVM Infrastruktur wieder schwieriger.

 

ja, da habe ich aber das GAST wlan der Fritzbox aktiviert und die IOT geräte sind in dem GAST Wlan der Fritzbox "verbannt"

4 hours ago, Ford Prefect said:

Ich nehme an, Du hast für den VPN-Container in der Fritz den unraid Host als "exposed host" eingetragen oder die IP des VPN-Containers bzw. eine dedizierte Portweiterleitung gemacht? Da die Fritz keine VLANs kann, kann sie eine Weiterleitung nur auf eine IP im Heimnetz machen. Der Container sollte aber eigentlich *nicht* im Heimnetz sein, sondern in einem eigenen VLAN (mit einem anderen IP-Segment), genau wie die Dienste von nextcloud usw.

 

ich glaube ein Exposed Host auf den Unraid komplett zu machen wäre fast schon lebensmüde, da der dann offen im netz steht :D

Ich nutze das Wireguard Plugin in Unraid und hab eine Route in der Fritzbox angelegt, klappt auch soweit wunderbar, komme zb vom Handy ins Heimnetz LAN

den VPN nutze nur ich, um unterwegs geschützt zu sein und auch zB im LTE Netz von meinem Adguard zu profitieren

 

4 hours ago, Ford Prefect said:

...die VLANs an sich sind nicht das Problem, sondern das anschliessende Routing und Firewall-Regeln und "flüssig" soll es ja auch sein.

 

wenn ich auf Youtube so schaue, haben leute mit Gigabitanbindung eine OpenWRT auf nem Pi4 4gb laufen und bei download / upload sind ca 1 1/2 kerne ausgelastet, somit wäre doch eigentlich noch "puffer" fürs routing, firewall usw?

 

Möchte mich jetzt nicht auf den PI festfahren, rein von den Speccs die ich von anderen ARM Router mit z.B. Router OS gesehen habe, sahen von den specs viel viel schlechter aus.

Einzig und allein AES ni fehlt dem pi, aber das wäre nicht so wichtig da dieser nicht für VPN dienen soll sondern das der unraid host selbst macht

 

----------

 

Daher wäre jetzt die Frage, ob ich für 50 euro auf kleinanzeige nen i350 quad adapter kaufe und das ganze via VM mache - wobei ich dann glaube, dass die vm IMMER laufen muss, da ich michs onst total selbst aussperre?

 

oder ob ich das ganze via PI Probiere mittels USB NIC 

 

Dann wäre aber noch die problematic mit dem "Ausbremsen" da der unraid host ja nur 1 nic hat, 

 

würde das denn sehr ins Gewicht fallen?

Ich habe eine 250/40er ~ Leitung, kratze also nichtmal im Gbit limit^^

 

 

edit:

 

das wäre zb 1:1 genau die selbe kombo die ich "in gedanken" habe - nur dass ich theoretisch noch nen 2x nic anschließen könnte via usb

 

Wlan Performance ist laut Ersteller vom Video verbessert: zitat

Update - In the current OpenWRT version for RPI, the AC WiFi link speed is inscreased to 200 Mbps.

 

 

rohe werte mit Auslastung in "stresssituationen" für den pi mit AES software usw.

 

--- wiegesagt bin nicht unbedingt an den pi gebunden, will jetzt auch nicht fanboyn und offen für alles 😃

 

nur vl steckt noch der pi 3 in gedanken welcher wirklich grottenschlechte verbindungen / performance hatte da alles über einen bus lief

 

 

 

Edited by Encore
Link to comment
45 minutes ago, Encore said:

 

welchen router würdest du als alternative empfehlen?

Habe mal bisschen geschaut, der Pi 4 hat 4gb ram, ne schnellere CPU(APU) als die meisten ARM basierten router die ich gefunden habe, sowie gigabit lan (der soll auch das gigabit wohl schaffen) sowohl ein einzeln angebundener USB3 port, welcher laut Netz an die 5gbs rankommt und somit auch den usb nic voll ausreizen könnte?

 

Die NICs im rPi oder einer VM haben, anders als in einem echten Router keine HW-Beschleunigung. In einem Inter-VLAN Szenario macht 90% des Traffic der Switch-Chip im Router.Die CPU braucht es dabei nicht, oder eben nur für einen Teil (bis z.B. die Verbindung ausgehandelt ist.

 

Gibt es eine dedizierte openWRT native distro? Dann versuche es ruhig damit.

Wie gesagt, technisch / softwareseitig wird das schon gehen,...wobei ein USB-Adapter mir zu fummelig/wackelig wäre.

Die Kennzahlen der Hardware kannst Du nicht 1:1 vergleichen....bei openWRT muss alles die CPU allein machen.

 

Alternative Router wären z.B. ein RB4011, RB5009 von Mikrotik

 

45 minutes ago, Encore said:

da hätte ich aber dann das problem, dass wenn aus irgendwelchen gründen die VM nicht startet ich auch nicht mehr auf unraid selbst komme, oder?

Nein, Dein unraid selbst (Also Zugriff aus Web-UI/Console des unraid-OS) bleibt ja im Heimnetz...wenn Du es korrekt aufbaust.

Das Argument mit der Verfügbarkeit gilt aber auch für Deinen rPi4....betroffen bei einem Ausfall wären alle Docker/VMs die Du nicht im Heimnetz hättest und im Falle der VM alle Dienste die über VLANs hinweg untereinander kommunizieren müssten/wollen.

Im Zweifel auch Dein DNS, Adguard, ...

 

45 minutes ago, Encore said:

der dient auch quasi nur dazu um das Internet vom "Schlafzimmer" - wo die Fritzbox steht + TAE ins Büroi zu bringen :) Quasi "Fritzbox -----wlan ---- 1750E Repeater (mit eigener LAN Buchse)

Aber eben nur die Eine.

 

45 minutes ago, Encore said:

ja, da habe ich aber das GAST wlan der Fritzbox aktiviert und die IOT geräte sind in dem GAST Wlan der Fritzbox "verbannt"

...und welche Dienste benötigen diese Geräte, ausser I-Net? Einen MQTT-Broker zB usw? Hast Du sowas schon am Start?

Da der Repeater nur ein LAN hat, kann der Heim + Gast auf dem LAN nicht unterscheiden...wie willst Du sicher sein, dass Gäste nicht auf einen Service / Docker in unraid zugreifen (dieser wäre ja aktuell in Deinem Heimnetz - später in einem VLAN, zusammen mit den IoT-Geräten)

Wenn Du dafür das Gastnetz der Fritz nutzen willst, bleibt das nur getrennt, wenn Du das Gast-an-LAN4 der Fritz aktivierst und diesen Port mit dem IoT-VLAN verbindest (über den VLAN-fähigen Switch)...der aber eben nicht an dem Ort stehen kann, wo die Fritz ist.....da bist DU schon gekniffen.

 

 

45 minutes ago, Encore said:

Ich nutze das Wireguard Plugin in Unraid und hab eine Route in der Fritzbox angelegt, klappt auch soweit wunderbar, komme zb vom Handy ins Heimnetz LAN

den VPN nutze nur ich, um unterwegs geschützt zu sein und auch zB im LTE Netz von meinem Adguard zu profitieren

...mit einem RB4011 oder RB5009 könntest Du auf den Wireguard Docker verzichten, da diese das schon an Bord haben.

Nutze ich zB auch selnbst so.

 

 

45 minutes ago, Encore said:

wenn ich auf Youtube so schaue, haben leute mit Gigabitanbindung eine OpenWRT auf nem Pi4 4gb laufen und bei download / upload sind ca 1 1/2 kerne ausgelastet, somit wäre doch eigentlich noch "puffer" fürs routing, firewall usw?

 

Möchte mich jetzt nicht auf den PI festfahren, rein von den Speccs die ich von anderen ARM Router mit z.B. Router OS gesehen habe, sahen von den specs viel viel schlechter aus.

Einzig und allein AES ni fehlt dem pi, aber das wäre nicht so wichtig da dieser nicht für VPN dienen soll sondern das der unraid host selbst macht

[...]

würde das denn sehr ins Gewicht fallen?

Ich habe eine 250/40er ~ Leitung, kratze also nichtmal im Gbit limit^^

Du hast die Problematik, die ich angesprochen habe noch nicht verstanden.

 

Wie oben gesagt, das VPN-Szenario ist Funktional- und Performance-seitig ja nicht das Thema.

Um es abzusichern muss der Traffic duch eine Firewall kontrolliert werden.

Das ist weder in unRaid, dem Docker noch in der Fritz der Fall.

Funktional ein Problem ist - wenn Du die Netze separierst - der Traffic zwischen den Netzen, lokal....da willst Du nicht mit 250Mbit, sondern mit 1Gbps durch...das muss der rPi schaffen.

 

Dein UseCase war nicht der rPi, sondern separieren von Heim- und Nicht-Heim ressourcen. Das findet lokal statt.

Das VPN User und der Docker auch eine Nicht-Heim ressource sind, ist klar.

 

45 minutes ago, Encore said:

das wäre zb 1:1 genau die selbe kombo die ich "in gedanken" habe - nur dass ich theoretisch noch nen 2x nic anschließen könnte via usb

Du kannst es ja gerne probieren....aber kopiere nix aus Videos...selbst verstehen...ist Deine Verantwortung.

 

Allerdings das Thema Gast-IoT passt so nicht wirklich.

Das wird den rPi noch mehr stressen, da Du auf dem *einen* LAN des Repeater dann keine VLAN shast, sondern auf IP-Ebene jedes Paket filtern musst...wenn auf dem LAN überhaupt auch das Gastnetz ankommmt, neben dem Heimnetz. Hast Du das mal probiert?

 

Alternativ GAST auf der Fritz / repeater ausschalten und nur auf dem AP des rPi die Gast/IoT SSID aktivieren. Dann wäre es dort getrennt und zum Switch in VLANs aufteilbar.

 

Ab hier wird es schwierig.

Wenn Du da weitermachen willst, zeichne DIr die LAN-/VLAN-Verbindungen und die Komponenten auf...ein Bild sagt mehr als tausend Worte: https://app.diagrams.net/

  • Like 1
Link to comment

die IOT geräte (nen staubsauger und paar lampen) wären ja im gast WLAN der Fritzbox, , geräte die ins Gast LAN netz müssten, habe ich nicht - alle IOT geräte die ich aktuell habe, haben wlan und sind mit dem Fritzbox wlan vebrunden.

 

---

also würdest du empfehlen, dass ich mir dann die i350 4er nics holen soll und das ganze dann via pfsense eher mache statt dem pi? - da 180+~ für die verlinkte router würde ich jetzt nicht ausgeben wollen :/

 

wegen dem wireguard docker - docker nutze ich ja nicht dafür, sondern das native plugin für unraid  - wireguard läuft bm also nicht im docker sondern direkt auf dem unraid via community plugin (nicht das binthex wireguard oder Ähnliches ) - sondern direkt als plugin

 

 

Link to comment
49 minutes ago, Encore said:

die IOT geräte (nen staubsauger und paar lampen) wären ja im gast WLAN der Fritzbox, , geräte die ins Gast LAN netz müssten, habe ich nicht - alle IOT geräte die ich aktuell habe, haben wlan und sind mit dem Fritzbox wlan vebrunden.

Eben. Das Gastnetz ist nur WLAN. Das bekommst Du - wegen Deines Aufbaus - nicht zum unRaid transportiert, wenn IoT ein eigenes Netz ist/werden soll.

Annahme: Du willst einen Smart-Home Hub, zB HomeAssistant/OpenHAB, ... läuft auf unRaid im Docker...IoT Geräte müssen eine Verbindung dahin initieren können...dann bist Du gekniffen.

 

49 minutes ago, Encore said:

also würdest du empfehlen, dass ich mir dann die i350 4er nics holen soll und das ganze dann via pfsense eher mache statt dem pi? - da 180+~ für die verlinkte router würde ich jetzt nicht ausgeben wollen :/

Nein, ich denke Du bekommst es letztlich nicht hin, mit dem Setup. Lass es wie es ist, bis Du eine Lösung hast ohne Fritz/Repeater und AVM-Gastnetz auszukommen.

 

49 minutes ago, Encore said:

wegen dem wireguard docker - docker nutze ich ja nicht dafür, sondern das native plugin für unraid  - wireguard läuft bm also nicht im docker sondern direkt auf dem unraid via community plugin (nicht das binthex wireguard oder Ähnliches ) - sondern direkt als plugin

Ich kenne das Ding nicht. Denke aber es ist möglich den in ein eigenes Netz zu legen?

Link to comment

hab mir gedanken gemacht und würde mein netzwerk doch mal komplett auf "sicher" trimmen...

 

würde mir also auch ein draytek svdsl modem kaufen oder alternativ eine digibox basic / speedport und den in bridge modus setzen

 

könnte mir einen gebrauchten RB2011UiAS RM für 50 euro kaufen, wäre dass eine Firewall die empfehlenswert wäre?

 

dazu noch unify AP 

die Fritzbox würde ich dann als Wlan AP auch mit nutzen neben dem Unify ap - oder nur die fritzbox und mir den unify AP einsparen)

 

 

Edited by Encore
Link to comment
1 hour ago, Encore said:

hab mir gedanken gemacht und würde mein netzwerk doch mal komplett auf "sicher" trimmen...

OK, also zurück zum Reissbrett....

 

1 hour ago, Encore said:

würde mir also auch ein draytek svdsl modem kaufen oder alternativ eine digibox basic / speedport und den in bridge modus setzen

Warum genau sowas....brauchst Du auch Telefon?

Die Fritz an sich funktioniert ja erstmal.

Die genannten Alternativen lösen Dein Problem des "Luftkabels" zwischen den beiden Räumen nicht, oder wie willst Du das sonst machen?

 

1 hour ago, Encore said:

könnte mir einen gebrauchten RB2011UiAS RM für 50 euro kaufen, wäre dass eine Firewall die empfehlenswert wäre?

Du hast doch schon einen Switch...der RB2011 ist recht alt und hat auch nur 5x1Gbps ports...die zweiten 5 sind nur 100Mbps.

Ein Hex-S kostet 60EUR und hat eine deutlich potentere Hardware (2C/4T vs. 1C, dazu IPSec in Hardware)...mit dem kannst Du Deinen Wireguard Docker einfach einsparen und löst zugleich ein potentielles "Sicherheitsproblem", da Dein VPN im Router, direkt an der Firewall sitzt statt im unRaid.

 

1 hour ago, Encore said:

dazu noch unify AP 

Ja, macht Sinn...oder einen TP-Link Omada...besseres P/L.

 

1 hour ago, Encore said:

die Fritzbox würde ich dann als Wlan AP auch mit nutzen neben dem Unify ap - oder nur die fritzbox und mir den unify AP einsparen)

Nein, mit einem "managed" AP müssen alle aus einem Gruss sein. Ansonsten schaltet der sich ab, bzw. merkert laut rum weil die gleiche SSID auf einem unbekannten AP auftaucht und dan heisst es "rogue AP".

 

Da dein "wireless-wire" Problem noch nicht gelöst ist, müsstest Du eigentlich zwei APs nehmen und zwischen den beiden auch eine Brücke bauen.

Bei UniFi heisst das wireless uplink-AP.

 

Ich würde die Fritz als Modem/Telefon-Server behalten.

Dahinter den Hex-S (in der Fritz den Hex als exposed Host - da das NAT in der Fritz dabei an bleibt, musst Du NAT im Hex nicht mmehr einschalten) und den AP1.

Dann AP2, der sich beim AP1 einbucht (wenn WiFi vom AP1 ausreicht, nimmst Du AP2 einfach nur als WiFi-Client...mit 5GHz LInk geht da auch was auf dem Wlan-Kabel).

....und den Switch, unraid, ....

VLANs in unraid, dem Hex und die SSIDs der APs.

Link to comment
49 minutes ago, Ford Prefect said:

Warum genau sowas....brauchst Du auch Telefon?

Die Fritz an sich funktioniert ja erstmal.

Die genannten Alternativen lösen Dein Problem des "Luftkabels" zwischen den beiden Räumen nicht, oder wie willst Du das sonst machen?

mein gedanke war, über den router/firewall dann eine ppoe einwahl zu machen um "eine" steuerzentrale zu haben  (mein gedanklicher hintergrund)  die fritzbox würde ich dann verkaufen um kosten wieder einzuholen.

 

Telefon wird nicht betrieben

49 minutes ago, Ford Prefect said:

Die genannten Alternativen lösen Dein Problem des "Luftkabels" zwischen den beiden Räumen nicht, oder wie willst Du das sonst machen?

 

Idee war, dass ich den Fritz1750 Repeater als "brücke" nutze  - dazu hat mir ein kollege empfohlen, dass ich folgenden Route rmir besorgen solle da dieser wohl "alles in einem kann"

Turris Omnia 2019 oder 2020   und den fritzrepeater dann als client mit dem turris verbinden welcher vlan auf wlan kann  und dann via von der LANbuchse des repeaters direkt an den unraid host gehe oder an den managed switch   ------- war nur eine idee von ihm, er ist immer kurz angebunden konnte es mir nicht weiter erläutern^^

 

49 minutes ago, Ford Prefect said:

Du hast doch schon einen Switch...der RB2011

dann fällt der schonmalk raus

49 minutes ago, Ford Prefect said:

TP-Link Omada

grade mal abgespeichert, den kannte ich noch garnicht :D bin bissel von den unify preisen erschrocken haha

49 minutes ago, Ford Prefect said:

ch würde die Fritz als Modem/Telefon-Server behalten.

Dahinter den Hex-S (in der Fritz den Hex als exposed Host - da das NAT in der Fritz dabei an bleibt, musst Du NAT im Hex nicht mmehr einschalten) und den AP1.

Dann AP2, der sich beim AP1 einbucht (wenn WiFi vom AP1 ausreicht, nimmst Du AP2 einfach nur als WiFi-Client...mit 5GHz LInk geht da auch was auf dem Wlan-Kabel).

....und den Switch, unraid, ....

VLANs in unraid, dem Hex und die SSIDs der APs.

der Hex-S ist ja mal extrem günstig, der würde dann quasi als exposed an der fritte hängen, ap1 mit dem hexs verbunden und ap2 dann als brücke ins "büro" 

 

okay gedanklich verstanden

 

jetzt bin ich überlegen, was am besten wäre...

 

digibox basic für 25 euro als svdsl modem kaufen 

+ diesen turris omnia (kostet 270 in der bucht)

und dann die brücke mittels ap herstellen, somit quasi alles über openwrt steuern (kein exposed host / doppel nat usw?)

 

um die kosten klein zu halten könnte man theoretisch dann die fritte verkaufen (-120€ ) - 

und ich könnte noch meinen pi4 4gb verkaufen - ~80€ mit gehäuse netzteil

 

 

ooooooooooooooooooooooh

Ford perfect, 

 

mache mich jetzt an deinem wort fest -

 

wenn beide optionen möglich wären - geld mal außenvor

 

die variante mit diesem turris router der die fritte ersetzt 

 

oder die variante mit hex firewall + 2 aps und gebastel 

 

 

was wäre die 1. am einfachsten einzurichten

2. einfach zu warten

3. professionellere 

4. WAF wife acceptance factor

lösung?

Wenn frauchen sieht, dass da aufeinmal 4 weitere Geräte rumblinken darf ich erstmal nen jahr auf die couch :D

 

-------

edit

 

mal die artikel in warenkorb gelegt:

 

Mikrotik hEX S Ethernet-Router, 10, 100,1000 MBit/s, 10/100/1000Base-T(X), Schwarz, 256 MB, 11 W, DC

2x TP-Link EAP225

Summe (3 Artikel): 228,02 €

 

Turris 270€

+ 30 euro digitalisierungsbox = 300€

 

- 120~ für den verkauf der fritzbox

preislich wäre ich da ca beim selben

wenn ich den fritz repeater behalte,

 

alternativ kann ich den auch verkaufen und 1x TP-Link EAP225 holen  für die "brücke"

 

das wären jetzt beide Möglichkeiten mh.. 

Edited by Encore
Link to comment
  • Solution
27 minutes ago, Encore said:

mein gedanke war, über den router/firewall dann eine ppoe einwahl zu machen um "eine" steuerzentrale zu haben  (mein gedanklicher hintergrund)  die fritzbox würde ich dann verkaufen um kosten wieder einzuholen.

Telefon wird nicht betrieben

Das ist ja nicht das Problem, wenn Du ein Midem im Bridge-Mode hast.

Würde ich auch immer empfehlen, wenn Du die Telefonie in der Fritz nicht brauchst (WAF).

Ob diese digibox als Modem was taugt..kann ich nicht sagen.

 

27 minutes ago, Encore said:

Idee war, dass ich den Fritz1750 Repeater als "brücke" nutze  - dazu hat mir ein kollege empfohlen, dass ich folgenden Route rmir besorgen solle da dieser wohl "alles in einem kann"

Turris Omnia 2019 oder 2020   und den fritzrepeater dann als client mit dem turris verbinden welcher vlan auf wlan kann  und dann via von der LANbuchse des repeaters direkt an den unraid host gehe oder an den managed switch   ------- war nur eine idee von ihm, er ist immer kurz angebunden konnte es mir nicht weiter erläutern^^

Puhhh...jaa...ich wäre da vorsichtig.

In den Repeater kannst Du nicht wirklich reinschauen...ist der wirklich transparent...wird der VLAN tags brav durchleiten?

Ich würde wenn, dann Fritz und Repeater in der Bucht schwimmen lassen...als Combo oder einzeln....wech is wech.

 

Den Turris kenne ich nur aus dem Prospekt.

Ähnlich wie die kleinen von GLi.net werben die mit openWRT...aber eigentlich ist es deren eigener Fork.

Ich kenne die WiFi Performance des Turris nicht....so ein All-in-One kann da nach hinten losgehen.

Mikrotik ist unheimlich mächtig, aber WiFi ist nicht auf der Höhe der Zeit....sonst hätte ich Dir den MT hap-ac2 oder hap-ac3 empfohlen.

Wobei der hap-ac3 auch mit wifiwave2-Treibern echt spass macht...kriege hier aufm Sofa 600+Mbps damit hin.

 

27 minutes ago, Encore said:

grade mal abgespeichert, den kannte ich noch garnicht :D bin bissel von den unify preisen erschrocken haha

Du hast ne PM ;-)

 

27 minutes ago, Encore said:

der Hex-S ist ja mal extrem günstig, der würde dann quasi als exposed an der fritte hängen, ap1 mit dem hexs verbunden und ap2 dann als brücke ins "büro" 

Der ist gut genug für I-Net bis 450Mbit

 

27 minutes ago, Encore said:

 

okay gedanklich verstanden

 

jetzt bin ich überlegen, was am besten wäre...

 

digibox basic für 25 euro als svdsl modem kaufen 

+ diesen turris omnia (kostet 270 in der bucht)

und dann die brücke mittels ap herstellen, somit quasi alles über openwrt steuern (kein exposed host / doppel nat usw?)

Einmal NAT hast Du sowieso.

Jeder MT wird auch statt dem Turris am Modem laufen.

 

27 minutes ago, Encore said:

mache mich jetzt an deinem wort fest -

 

wenn beide optionen möglich wären - geld mal außenvor

 

die variante mit diesem turris router der die fritte ersetzt 

 

oder die variante mit hex firewall + 2 aps und gebastel 

Ich sehe nicht wieso diese beiden Varianten die einzigen sind.

Auch sehe ich nicht, wo ein abgesetzter AP1 gebastel ist.

Ich sehe den Vorteil, bei abgesetzten APs diese, dank PoE optimal (für Empfang oder für den WAF - was nicht deckungsgleiche Eigenschaften sein müssen) plazieren zu kömen

 

27 minutes ago, Encore said:

was wäre die 1. am einfachsten einzurichten

2. einfach zu warten

3. professionellere 

4. WAF wife acceptance factor

lösung?

Wenn frauchen sieht, dass da aufeinmal 4 weitere Geräte rumblinken darf ich erstmal nen jahr auf die couch :D

Stecknadelgrosse APs gibt es leider noch nicht ...guter Empfang heisst gutes Antennen-Design und Störabstand heisst eine gewisse Grösse.

 

27 minutes ago, Encore said:

mal die artikel in warenkorb gelegt:

 

Mikrotik hEX S Ethernet-Router, 10, 100,1000 MBit/s, 10/100/1000Base-T(X), Schwarz, 256 MB, 11 W, DC

2x TP-Link EAP225

Summe (3 Artikel): 228,02 €

Wenn Du TP_Link nimmst, willst Du EAP245, nicht 225....die können 3x4 Mu-MiMO und Mesh.

 

27 minutes ago, Encore said:

alternativ kann ich den auch verkaufen und 1x TP-Link EAP225 holen  für die "brücke"

Ja, 1xEAP245 als AP1 und 1xEAP225 als WiFi-Client...ginge

27 minutes ago, Encore said:

das wären jetzt beide Möglichkeiten mh.. 

- Modem

- Hex-S

- EAP245 als WiFi Zentral AP

- EAP225 als wireless uplink und AP2 (Mesh zum AP1)

...das würde ich so machen (oder eben unifi APs).

 

RouterOS ist komplizierter, weil unheimlich flexibel (ist ein Linux)....gibt (bisher) ewig Firmware Updates.

Seit dem neuen v7 ist Wireguard nativ da drin...Bedienung über Web-UI oder MS Winbox-Tool...gewöhnungsbedürftig, aber auch super flexibel.

TP-Link mit Controller im Docker ist auf jeden Fall supereinfach...ähnlich unifi, nur besseres P/L

 

Turris...Hardware klingt gut...openWRT, naja...alll-in-one ist nicht meines.

  • Thanks 1
Link to comment
11 minutes ago, Ford Prefect said:

Das ist ja nicht das Problem, wenn Du ein Midem im Bridge-Mode hast.

Würde ich auch immer empfehlen, wenn Du die Telefonie in der Fritz nicht brauchst (WAF).

Ob diese digibox als Modem was taugt..kann ich nicht sagen.

das modem würde ich dann hinter den schrank verschwinden lassen :D 

die digibox basic hat ein svdsl modem von intel, wie die fritzbox - sollte also rein vom modem / bridge betrieb keinen unterschied machen.

 

11 minutes ago, Ford Prefect said:

Puhhh...jaa...ich wäre da vorsichtig.

In den Repeater kannst Du nicht wirklich reinschauen...ist der wirklich transparent...wird der VLAN tags brav durchleiten?

Ich würde wenn, dann Fritz und Repeater in der Bucht schwimmen lassen...als Combo oder einzeln....wech is wech.

das würde ich einfach mal ausprobieren und dann berichten haha :D

12 minutes ago, Ford Prefect said:

Den Turris kenne ich nur aus dem Prospekt.

Ähnlich wie die kleinen von GLi.net werben die mit openWRT...aber eigentlich ist es deren eigener Fork.

Ich kenne die WiFi Performance des Turris nicht....so ein All-in-One kann da nach hinten losgehen.

Mikrotik ist unheimlich mächtig, aber WiFi ist nicht auf der Höhe der Zeit....sonst hätte ich Dir den MT hap-ac2 oder hap-ac3 empfohlen.

Wobei der hap-ac3 auch mit wifiwave2-Treibern echt spass macht...kriege hier aufm Sofa 600+Mbps damit hin.

 

https://www.turris.com/en/omnia/overview/  das wäre der "aktuelle" mit wifi ac 1300mbits - alsos chon bisschen veraltet, es soll aber in den nächsten monaten das 2022 kommen mit folgenden specs:

zitat:

Now you can see our upcoming #TurrisOmnia2022 out in the open for the very first time ! Don’t hesitate to stop by our booth 2G11.12 in Hall 2 at #MWC2021 in Barcelona  - till July 1.

#TurrisOmnia specs are powerful & yet, still open to changes.

We plan 64bit CPU with 4 cores on 2GHz, additional RAM over our current 2GB. Higher speeds of everything - AX #WiFi6, 10Gbit & 2,5Gbit ports & #5Gready.

https://www.facebook.com/turrisomnia/videos/turris-omnia-2022-out/4024232400979019/

 

https://newsy-today.com/this-is-what-the-czech-wi-fi-router-turris-omnia-ii-looks-like-its-production-is-hampered-by-a-lack-of-chips/

 

Vorteil ist wohl, dass die Geräte Upgradebar sind, also die wlan module usw.

 

15 minutes ago, Ford Prefect said:

Wenn Du TP_Link nimmst, willst Du EAP245, nicht 225....die können 3x4 Mu-MiMO und Mesh.

hab ich mir jetzt geholt und 1x 225 als client

 

- Modem

- Hex-S

- EAP245 als WiFi Zentral AP

- EAP225 als wireless uplink und AP2 (Mesh zum AP1)

 

die digibox hab ich sogar grade für 25 + 5 euro versand in der bucht gekauft.

https://www.telekom.de/hilfe/downloads/bedienungsanleitung-digitalisierungsbox-basic.pdf

im vergleich ein dreytek svdsl modem hätte 100+ gekostet...

 

werde also die oben genannte kombo testen innerhalb von 14 tagen 

 

sollte ichs für gut befinden verkauf ich die fritzbox und den repeater

 

sobald der neue turris draußen ist, denke ich werde ich den auch mal probieren und den dann mit dem hex s ersetzen, wifi 6 klingt gut + lxc container möglichkeit (für pihole usw) 4gb ram usw klingt alles zumindest auf dem papier echt gut (nur noch ne preisfrage)  zudem 10gbit spf+ 2,5gbit ports usw.. da freut sich das interne netzwerk wenn ich dann noch eine 2,5 oder 10gbit karte in den unraid einbaue und nen entsprechenden switch :D 

 

 

wegen deinen unify aps muss ich erstmal passen wenn die EAP mir nicht gefallen komme ich - sofern sie dann noch da sind :D aber gern aufs angebot zurück haha

 

 

Link to comment

muss jetzt nochmal kurz einhaken, gibts die EAP245 aucha ls "aufstell alternative" ?

 

muss ja irgendwie noch vom AP dann an den switch kommen oder direkt via lan an den unraid host :D

 

an die Decke hängen und dann mit kabel runter wirds wieder mit dem WAF schwierig - handwerklich nicht so geschickt

 

gibts die auch managebar usw. als "aufstell" lösung?

 

TP-Link Deco M4 Mesh WLAN Set (3 pack)

 

die zb

 

https://www.amazon.de/TP-Link-M4-WLAN-Heimnetz-Komplettlösung-Abdeckung-Multi-Arbeitsmodi/dp/B07P495TQ4/ref=sr_1_12?__mk_de_DE=ÅMÅŽÕÑ&crid=2O3RTX58NON5P&keywords=EAP245&qid=1645133347&s=computers&sprefix=eap245+%2Ccomputers%2C119&sr=1-12

 

(kein ref link - keine werbung)

Edited by Encore
Link to comment
17 minutes ago, Encore said:

sobald der neue turris draußen ist, denke ich werde ich den auch mal probieren und den dann mit dem hex s ersetzen, wifi 6 klingt gut + lxc container möglichkeit (für pihole usw) 4gb ram usw klingt alles zumindest auf dem papier echt gut (nur noch ne preisfrage)  zudem 10gbit spf+ 2,5gbit ports usw.. da freut sich das interne netzwerk wenn ich dann noch eine 2,5 oder 10gbit karte in den unraid einbaue und nen entsprechenden switch :D 

MT RB5009 und ein EAP660HD ... kommt aufs Gleiche raus ;-)

Im MT gehen Docker.

 

Link to comment
3 minutes ago, Encore said:

muss jetzt nochmal kurz einhaken, gibts die EAP245 aucha ls "aufstell alternative" ?

Das hat schon seinen Sinn, das die für die Decke designed sind..Ausleuchtung usw.

 

Ich habe meine runden Unifi im Ikea Tellerhalter-Hack aufgestellt...läuft super: https://blog.emeidi.com/2016/11/13/unifi-access-points-mittels-ikea-hack-in-der-wohnung-platzieren/

Link to comment
3 minutes ago, Ford Prefect said:

MT RB5009 und ein EAP660HD ... kommt aufs Gleiche raus ;-)

Im MT gehen Docker.

 

 

den hab ich sogar eben auch schon gesehen haha 

nur optisch -- WAF -- geht so :D

 

aber 1gb nand usw + nochmal 200 euro für den EAP660HD 

 

da würde ich zumindest rein vom ersten begutachten den Turris von den Specs besser finden - als unwissender :D (Erweiterbar, auch AX, 4gb ram, SSD einbaubar usw) openwrt lässt sich auch als natives OS flashen hab ich eben noch gesehen, also das "overlay" von denen muss man nicht unbedingt nutzen, für den turris gibts nen natives openwrt zumindest wirds in den kompatibilitätsliste geführt

Link to comment
2 minutes ago, Ford Prefect said:

Das hat schon seinen Sinn, das die für die Decke designed sind..Ausleuchtung usw.

 

Ich habe meine runden Unifi im Ikea Tellerhalter-Hack aufgestellt...läuft super: https://blog.emeidi.com/2016/11/13/unifi-access-points-mittels-ikea-hack-in-der-wohnung-platzieren/

 

hab eine 75³ wohnung :D 3 zimmer  

 

die Wände sind Ziegelwände / trockenbau

 

also wlan hab ich zumindest aktuell mit der 7590 + 1750e im büro in jeder ecke bisher beim speedtest mitm handy mindestens 230/250 mbit :D

Link to comment

bin einfach kurz davor einfach die zimmer umzustellen, das büro ins Schlafzimmer wo der router steht und schlafzimmer ins büro...

das würde soviel probleme lösen die TAE direkt am "unraid" zu haben xD

 

oder über die trockenbaudecke über dachboden (den darf ich mit nutzen) 30 meter catkabel kaufen nen loch rein (an der wand schön hoch) dann über dach im büro wieder runter.... 

 

und beim auszug ggfls mit putz und farbe wieder zu machen....

Edited by Encore
Link to comment
On 2/17/2022 at 10:56 PM, Ford Prefect said:

@Encore...läuft bei Dir 🤣

Dann aber wirklich den EAP245 gegen den 660HD tauschen...dann reichts auch bis zum Nachbarn ;-)

Ersten beide Teile ( Router und poe Switch )sind eingetroffen die aps kommen Montag :D 

 

hab mir noch den tl-sg 2210p bestellt 

hoffe war noch ne gute Wahl haha 

image.jpg

image.jpg

Edited by Encore
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.