15
FRITZ!Box Routing, Firewall, ohne extra WLAN
Hallo zusammen,
mein erster Post, seid gnädig
Ich überlege wie ich das folgende Szenario möglichst (kosten) effizient umgesetzt bekomme.
Über Hinweise zu Sinn und Unsinn freue ich mich zwar auch, aber darauf sollte nicht der Fokus liegen.
Also, ich möchte meine, noch recht junge, Fritzbox soweit wie möglich erstmal weiter verwenden.
Allerdings hält mehr und mehr IoT Zeug Einzug, was ich einfach nicht, oder nicht gänzlich ins inet lassen möchte.
Die Internet/Freigabe-Profile sind, zu rudimentär als, dass sie mir etwas nutzen würden.
Daher würde ich eine OPNsense hinter die Fritbox hängen.
Dahinter, weil ich kein dediziertes Modem möchte, Portforwarding etc. ist alles akzeptiert.
Nun stellt sich mir die Frage, wie bzw. ob ich der FB beibringen kann, dass
Eine beispielhafte Verbindung würde nun so aussehen, wenn sie ins Internet darf:
IoT Device > WiFi > Fritzbox > FW > Fritzbox > ISP
Dass das am Ende ein Router-on-a-Stick ist, ist okay und wird ggf später noch über einen Managed Switch optimiert.
Die Frage ist, bekomme ich das auch erstmal ohne den Switch und ohne neuen AccessPoint hin.
Ich bedanke mich schonmal vorab,
Beste Grüße aus Palm Beach
mein erster Post, seid gnädig
Ich überlege wie ich das folgende Szenario möglichst (kosten) effizient umgesetzt bekomme.
Über Hinweise zu Sinn und Unsinn freue ich mich zwar auch, aber darauf sollte nicht der Fokus liegen.
Also, ich möchte meine, noch recht junge, Fritzbox soweit wie möglich erstmal weiter verwenden.
Allerdings hält mehr und mehr IoT Zeug Einzug, was ich einfach nicht, oder nicht gänzlich ins inet lassen möchte.
Die Internet/Freigabe-Profile sind, zu rudimentär als, dass sie mir etwas nutzen würden.
Daher würde ich eine OPNsense hinter die Fritbox hängen.
Dahinter, weil ich kein dediziertes Modem möchte, Portforwarding etc. ist alles akzeptiert.
Nun stellt sich mir die Frage, wie bzw. ob ich der FB beibringen kann, dass
- alle Verbindungen, z.B. per Default Route, erstmal an die FW gehen und
- dass nur die FW dann ins Internet darf
Eine beispielhafte Verbindung würde nun so aussehen, wenn sie ins Internet darf:
IoT Device > WiFi > Fritzbox > FW > Fritzbox > ISP
Dass das am Ende ein Router-on-a-Stick ist, ist okay und wird ggf später noch über einen Managed Switch optimiert.
Die Frage ist, bekomme ich das auch erstmal ohne den Switch und ohne neuen AccessPoint hin.
Ich bedanke mich schonmal vorab,
Beste Grüße aus Palm Beach
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671181
Url: https://administrator.de/forum/fritzbox-routing-firewall-ohne-extra-wlan-671181.html
Ausgedruckt am: 12.03.2025 um 04:03 Uhr
15 Kommentare
Neuester Kommentar
Greetings to sunny Palm Beach! 😉
Für die grundlegende Router Firewall Kaskaden Info findest du HIER alle wichtigen Infos.
Die Fritte bzw. ihr integriertes WLAN hebelt damit quasi immer deine hinter ihr kaskadierte Firewall vollständig aus.
Auch ein Bridge Design mit 2 LAN Interfaces in der Firewall im Bridging Mode würde dies Problem nicht lösen können, weil du an den internen Traffic, der vom internen Fritzbox Accesspoint ins LAN geht, nicht rankommst um ihn durch die Firewall zu "schleusen". Der wird von der Fritte direkt ins Internet gesendet.
Keine Chance also das mit dem Fritzbox internen WLAN zu lösen, weil der immer die FW aushebelt egal ob "on a stick" oder Bridging. Routing Mode so oder so nicht.
Wenn du allerdings das interne WLAN an der Fritte deaktivierst und dir für kleines Geld einen separaten WLAN Accesspoint beschaffst denn du an das lokale LAN der Firewall anschliesst, dann ist das problemlos zu realisieren. Das ist dann ein simples Kaskaden Setup.
Idealerweise macht man das dann gleich mit einem MSSID fähigen AP der dir mehrere WLANs pro AP aufspannen kann. Wie sowas in der Praxis funktioniert erklärt dir dieses Tutorial.
Für die grundlegende Router Firewall Kaskaden Info findest du HIER alle wichtigen Infos.
alle Verbindungen, z.B. per Default Route, erstmal an die FW gehen und
Das ist so in dem Design auf Layer 2 Ebene technisch mit dem eingeschränkten Featureset eines einfachen Consumer Routers nicht möglich wenn du als WLAN Zugangspunkt weiter den internen AP der Fritzbox nutzen willst oder musst.Die Fritte bzw. ihr integriertes WLAN hebelt damit quasi immer deine hinter ihr kaskadierte Firewall vollständig aus.
Auch ein Bridge Design mit 2 LAN Interfaces in der Firewall im Bridging Mode würde dies Problem nicht lösen können, weil du an den internen Traffic, der vom internen Fritzbox Accesspoint ins LAN geht, nicht rankommst um ihn durch die Firewall zu "schleusen". Der wird von der Fritte direkt ins Internet gesendet.
Keine Chance also das mit dem Fritzbox internen WLAN zu lösen, weil der immer die FW aushebelt egal ob "on a stick" oder Bridging. Routing Mode so oder so nicht.
Wenn du allerdings das interne WLAN an der Fritte deaktivierst und dir für kleines Geld einen separaten WLAN Accesspoint beschaffst denn du an das lokale LAN der Firewall anschliesst, dann ist das problemlos zu realisieren. Das ist dann ein simples Kaskaden Setup.
Idealerweise macht man das dann gleich mit einem MSSID fähigen AP der dir mehrere WLANs pro AP aufspannen kann. Wie sowas in der Praxis funktioniert erklärt dir dieses Tutorial.
Moinsen,
genau (also schematisch) so, wie oben von @aqui beschrieben, habe ich das in meinem Heimnetz...
Alte Fritzbox macht den Internetrouter, dahinter ist dann nur noch die pfsense mit ihrem WAN Interface angeschlossen. Die pfsense macht dann das eigentlich LAN (und VLANs, eben gerade für so IoT Geraffel) inklusive dhcp, dns resolver, routing, firewall, werbeblocker usw). Dahinter dann eben managed switch(es) und reine APs, damit ich auch im WLAN ein wenig den Verkehr trennen kann (eben per VLAN und MSSIDs), denn gerade das nutzen ja die meisten IoT Geräte.
Und wie das alles gut einzurichten ist, erklärt das o.g. Tutorial...genau so hab ich es als IT noob ohne beruflichen background auch hingezimmert bekommen. Danach kommt dann nach und nach etwas Erfahrung dazu und die individuelle Anpassung gelingt umso eleganter.
genau (also schematisch) so, wie oben von @aqui beschrieben, habe ich das in meinem Heimnetz...
Alte Fritzbox macht den Internetrouter, dahinter ist dann nur noch die pfsense mit ihrem WAN Interface angeschlossen. Die pfsense macht dann das eigentlich LAN (und VLANs, eben gerade für so IoT Geraffel) inklusive dhcp, dns resolver, routing, firewall, werbeblocker usw). Dahinter dann eben managed switch(es) und reine APs, damit ich auch im WLAN ein wenig den Verkehr trennen kann (eben per VLAN und MSSIDs), denn gerade das nutzen ja die meisten IoT Geräte.
Und wie das alles gut einzurichten ist, erklärt das o.g. Tutorial...genau so hab ich es als IT noob ohne beruflichen background auch hingezimmert bekommen. Danach kommt dann nach und nach etwas Erfahrung dazu und die individuelle Anpassung gelingt umso eleganter.
Macht ihr das dann über exposed Host an der ersten Fritte?
Moinsen,
so und so... ;)
Für IPv4 nur eine Portweiterleitung zum VPN Server, für IPv6 exposed host. Zumindest bei mir so...
Auf der pfsense dann geoblocking und ein paar IP Filterlisten per pfblocker. Am Ende kommt (gemäß logs zumindest) eigentlich nur wenig "anklopfender" Besuch daher.
so und so... ;)
Für IPv4 nur eine Portweiterleitung zum VPN Server, für IPv6 exposed host. Zumindest bei mir so...
Auf der pfsense dann geoblocking und ein paar IP Filterlisten per pfblocker. Am Ende kommt (gemäß logs zumindest) eigentlich nur wenig "anklopfender" Besuch daher.
Das würde aber bedeuten du hättest in dem Design dann unter IPv4 immer noch die FritzBox-FW aktiv, Doppeltes NAT und müsstest dann bei Portweiterleitungen weiterer Art zwei mal freigeben (FritzBox + Router/FW dahinter) oder?
(Frage nur zum Verständniss)
(Frage nur zum Verständniss)
Moinsen,
ja, sagt auch die Fritzbox (als Warnung)...für v6 (pfsense als exposed host) ist die Fritzbox Firewall deaktiviert (aber eben auch nur für die pfsense), für v4 weiterhin aktiv.
Und ja, ich zumindest habe hier doppelt NAT, habe da bisher auch nie ein Problem mit gehabt (wie gesagt, reiner hobby Anwender, das bisschen VPN Traffic mit doppelt NAT stört mich nicht). Best practice wäre dann allerdings ohne NAT auf der pfsense...
Ich brauche hier nur eine Portweiterleitung (v4!) für den einen VPN Port. Dieser wird erlaubt, zeigt auf die WAN IP der pfsense, über die auch der VPN Server läuft. Am WAN Interface dann eine entsprechende allow Regel...und natürlich den Zugang zum VPN Server absichern...
U.a. für v6 VPN wäre dann die exposed host Einrichtung zuständig.
edit...
und während ich es so schreibe...das bisschen VPN, pfff, VPN für v6 deaktiviert, exposed host rausgenommen.
ja, sagt auch die Fritzbox (als Warnung)...für v6 (pfsense als exposed host) ist die Fritzbox Firewall deaktiviert (aber eben auch nur für die pfsense), für v4 weiterhin aktiv.
Und ja, ich zumindest habe hier doppelt NAT, habe da bisher auch nie ein Problem mit gehabt (wie gesagt, reiner hobby Anwender, das bisschen VPN Traffic mit doppelt NAT stört mich nicht). Best practice wäre dann allerdings ohne NAT auf der pfsense...
Ich brauche hier nur eine Portweiterleitung (v4!) für den einen VPN Port. Dieser wird erlaubt, zeigt auf die WAN IP der pfsense, über die auch der VPN Server läuft. Am WAN Interface dann eine entsprechende allow Regel...und natürlich den Zugang zum VPN Server absichern...
U.a. für v6 VPN wäre dann die exposed host Einrichtung zuständig.
edit...
und während ich es so schreibe...das bisschen VPN, pfff, VPN für v6 deaktiviert, exposed host rausgenommen.
Erst einmal Danke für das umfangreiche und freundliche Feedback; da bin ich anderes gewöhnt (reddit ;D).
IPv6 ist für mich noch so ein kleines grusel Thema, mit dem ich mich noch weiter befassen muss.
Doppel NAT ist für mich i.O.
Das Thema mit MSSID klingt spannend, da hätte ich sonst mehrere Hotspots aufgespannt, danke dafür.
Ich bin aktuell ein wenig am Graben, denn es gab einmal die Möglichkeit das Routing der FB auf Konfigurations-Datei-Ebene anzupassen, zumindest um mehrere Netze (eth/wlan) bereitzustellen.
Ob das bei der neuen ebenfalls geht weiß ich noch nicht.
Alternativ gäbe es noch Freetz/-NG aber da habe ich noch gar nicht tiefer reingeschaut.
Edit:
Ich muss nochmal wegen "v6 (pfsense als exposed host) ist die Fritzbox Firewall deaktiviert" fragen, wass es damit auf sich hat.
Warum sollte man seine FW ins inet hängen bzw. eben exposen?
Und weiß wer was das standard Verhalten der FB bei v6 firewalling ist? - ich hätte erwartet, dass die auch erstmal allen Traffic dropt.
Edit2:
Subnetting auf der FritzBox: Stichwort ar7cfg
IPv6 ist für mich noch so ein kleines grusel Thema, mit dem ich mich noch weiter befassen muss.
Doppel NAT ist für mich i.O.
Das Thema mit MSSID klingt spannend, da hätte ich sonst mehrere Hotspots aufgespannt, danke dafür.
Ich bin aktuell ein wenig am Graben, denn es gab einmal die Möglichkeit das Routing der FB auf Konfigurations-Datei-Ebene anzupassen, zumindest um mehrere Netze (eth/wlan) bereitzustellen.
Ob das bei der neuen ebenfalls geht weiß ich noch nicht.
Alternativ gäbe es noch Freetz/-NG aber da habe ich noch gar nicht tiefer reingeschaut.
Edit:
Ich muss nochmal wegen "v6 (pfsense als exposed host) ist die Fritzbox Firewall deaktiviert" fragen, wass es damit auf sich hat.
Warum sollte man seine FW ins inet hängen bzw. eben exposen?
Und weiß wer was das standard Verhalten der FB bei v6 firewalling ist? - ich hätte erwartet, dass die auch erstmal allen Traffic dropt.
Edit2:
Subnetting auf der FritzBox: Stichwort ar7cfg
Zitat von @Mar-a-Lago:
Über Hinweise zu Sinn und Unsinn freue ich mich zwar auch, aber darauf sollte nicht der Fokus liegen.
Über Hinweise zu Sinn und Unsinn freue ich mich zwar auch, aber darauf sollte nicht der Fokus liegen.
Wie oben schon geschrieben:
wenn Du die Fritz!Box beibehalten willst, benötigst Du für WLAN ein anderes Gerät, sinnvollerweise einen separaten AP.
Noch'n Moinsen!
Ginge das nicht auch sinnvoll wenn du vor die Firewall (PfSense oder...) nen schnödes Modem setzt?
Die Fritte würde dann ein IP-Client in deinem Netz und kann aber noch die IoT-Geräte verwalten. Je nachdem, um was es geht, scheint mir das eine Alternative. Z.B. wenn es um Fritte-kompatible Heizungsthermostate geht...
Damit hast du für jedes Gerät ne (interne) LAN-IP die du in der Firewall managen kannst.
Ich meine, da geht dann auch ein Gast-WLAN / LAN, das sich dann "automatisch" nebenan konfiguriert. Müsste man halt auch in der Firewall entsprechend freigeben.
Habe grade so eine "Herausforderung" und will die Tage mal probieren, ob ich nicht mit einer Fritte als LAN-Client nen WLAN und Gast-WLAN eingerichtet bekomme. Bin aber grade nicht sicher...
So long,
Buc
Ginge das nicht auch sinnvoll wenn du vor die Firewall (PfSense oder...) nen schnödes Modem setzt?
Die Fritte würde dann ein IP-Client in deinem Netz und kann aber noch die IoT-Geräte verwalten. Je nachdem, um was es geht, scheint mir das eine Alternative. Z.B. wenn es um Fritte-kompatible Heizungsthermostate geht...
Damit hast du für jedes Gerät ne (interne) LAN-IP die du in der Firewall managen kannst.
Ich meine, da geht dann auch ein Gast-WLAN / LAN, das sich dann "automatisch" nebenan konfiguriert. Müsste man halt auch in der Firewall entsprechend freigeben.
Habe grade so eine "Herausforderung" und will die Tage mal probieren, ob ich nicht mit einer Fritte als LAN-Client nen WLAN und Gast-WLAN eingerichtet bekomme. Bin aber grade nicht sicher...
So long,
Buc
1
Mein "Problem" ist, dass ich nicht sorgenlos neue Hardware dazu stellen möchte, die ständig Strom zieht.
Als APs sehe ich da z.B. die folgenden, die aber im Schnitt 20W ziehen.
https://geizhals.de/?cmp=3398684&cmp=3221785&cmp=3103455
15W Fritzbox 7690
20W AP (der auch noch eine geringere Bandbreite hat)
15W Switch SG3210X-M2
15W DL30N
Macht in Summe 570kW im Jahr und damit gute 18€ Stomkosten im Monat (ja ich hänge noch in einem 39ct Arbeitspreis Vertrag)
Wenn ich der FB Subnetting beibringe kann ich erstmal auf den Switch und den AP verzichten; damit bin ich bei weniger als der Hälfte.
Als APs sehe ich da z.B. die folgenden, die aber im Schnitt 20W ziehen.
https://geizhals.de/?cmp=3398684&cmp=3221785&cmp=3103455
15W Fritzbox 7690
20W AP (der auch noch eine geringere Bandbreite hat)
15W Switch SG3210X-M2
15W DL30N
Macht in Summe 570kW im Jahr und damit gute 18€ Stomkosten im Monat (ja ich hänge noch in einem 39ct Arbeitspreis Vertrag)
Wenn ich der FB Subnetting beibringe kann ich erstmal auf den Switch und den AP verzichten; damit bin ich bei weniger als der Hälfte.
Grundsätzlich schon, aber die Preise sind lächerlich hoch.
Der Stromverbrauch hingegen lässt sich mir 3W sehen.
Darüber hinaus sehe ich nur ein einzigen Angebot für Fiber, wenn ich also irgendwann mal wechseln möchte, fange ich wieder an zu basteln.
Stichwort IP-Client-Mode, ja das geht, aber nur solange du WAN über Ethernet beziehst.
Ansonsten verwendet er das Gastnetz als WWAN.
Der Stromverbrauch hingegen lässt sich mir 3W sehen.
Darüber hinaus sehe ich nur ein einzigen Angebot für Fiber, wenn ich also irgendwann mal wechseln möchte, fange ich wieder an zu basteln.
Stichwort IP-Client-Mode, ja das geht, aber nur solange du WAN über Ethernet beziehst.
Ansonsten verwendet er das Gastnetz als WWAN.
Alte Fritzbox macht den Internetrouter, dahinter ist dann nur noch die pfsense mit ihrem WAN Interface angeschlossen.
Nur um hier einem Denkfehler gleich vorzubeugen!!Ja, so ein klassisches und vielfach verwendetes Kaskaden Setup mit einer Firewall und einer Netzwerk Segmentierung der lokalen Netze funktioniert natürlich problemlos, keine Frage.
Darum geht es primär ja auch nicht und steht nicht zur Diskussion.
Das KO Kriterium ist das der TO seine Endgeräte an die Fritzbox bzw. an deren WLAN koppelt. Damit "umgeht" er natürlich vollständig das obige Firewall Setup und führt dies ad absurdum. Es gibt mit den beschränkten Bordmitteln der Fritzbox keinerlei Möglichkeiten diesen WLAN Traffic zu einer "Ehrenrunde" über die Firewall zu zwingen.
Sofern der TO an dieser Vorgabe festhält oder festhalten muss macht es keinen Sinn so ein Setup umzusetzen.
Das klappt nur unter 2 Bedingungen:
- Fritzbox wird im IP Client Mode nur intern im lokalen LAN genutzt oder zum einfachen AP degradiert wie z.B. hier beschrieben. Erzwingt dann aber bei xDSL Anschluss ein nur Modem wie Vigor 167 oder Zyxel VMG3006 am Firewall WAN Port was der TO ablehnt.
- Das WLAN der Fritzbox zu deaktivieren und alternativ einen MSSID Accesspoint im lokalen LAN betreiben statt des FB WLANs.
wenn ich also irgendwann mal wechseln möchte, fange ich wieder an zu basteln.
Nein, das ist Unsinn wenn du das Kaskaden Setup umsetzt. Du entfernst dann einfach nur das Modem am WAN Port und stöpselst den Firewall WAN Port direkt in deinen Fiber ONT.Mein "Problem" ist, dass ich nicht sorgenlos neue Hardware dazu stellen möchte, die ständig Strom zieht.
Die Frage ist was "sorglos" für dich bedeutet? 🤔 Unter diesen Umständen solltest du dein Projekt dann besser begraben und lieber Madame zum Essen einladen von dem Geld. Das ist besser angelegt.Die Fritzbox lässt bekanntlich keine Segmentierung von Netzen wegen ihrer fehlenden technischen Möglichkeiten zu. Da hast du dich also im Vorfeld schon generell für die falsche Hardware entschieden.
Wenn du einen Dacia in der Garage hast aber 250 auf dem Nürburgring fahren willst ohne Super+ kaufen zu wollen sind dir auch die Hände gebunden. Quadratur des Kreises...
1
Ich bin bis auf weiteres erstmal über meinen Dayjob gebunden, aber ich habe mal angefangen an der ar7cfg zu spielen.
Sollte ich das zum laufen bringen werde ich die gerne posten.
Über Telnet geht es ja mittlerweile nicht mehr, aber über das Backup kommt man dennoch an die Datei und kann diese über die Wiederherstellung ändern.
Tests diesbezüglich waren soweit erfolgreich; aber da es keine ordentliche Dokumentation gibt wird das ein längerer Try&Error Prozess - zumal da auch super viele debrecated Optionen mit drin stecken.
Ich melde mich - vermutlich in 6-8 Wochen.
Der Plan schaut aktuell so aus:
Netz 21 Netz 22 Netz 31 Netz 32
Ach und ich habe gesehen, dass ich theoretisch bis zu 4 Wifis aufspannen kann; we will see...
Sollte ich das zum laufen bringen werde ich die gerne posten.
Über Telnet geht es ja mittlerweile nicht mehr, aber über das Backup kommt man dennoch an die Datei und kann diese über die Wiederherstellung ändern.
Tests diesbezüglich waren soweit erfolgreich; aber da es keine ordentliche Dokumentation gibt wird das ein längerer Try&Error Prozess - zumal da auch super viele debrecated Optionen mit drin stecken.
Ich melde mich - vermutlich in 6-8 Wochen.
Der Plan schaut aktuell so aus:
- Netz 10
- Purpose = Firewall
- Netz = 172.30.0.0/29
- Default Route = 172.30.0.1/29
- FB.LAN:1(2.5G) =172.30.0.1/29
- Firewall = 172.30.0.2/29
- Static Route 0.0.0.0 => 172.30.0.1
- FB.WAN(LAN/2.5G) = 172.30.0.3/29 (backup/test)
- Purpose = IOT-LAN
- Netz = 172.21.0.0/23
- Default Route = 172.30.0.2
- FB.LAN:2(1G) = 172.21.0.1/23
- Purpose = IOT-WLAN
- Netz = 172.22.0.0/23
- Default Route = 172.30.0.2/23
- FB.WLAN1 = 172.22.0.1/23
- Purpose = Guest / Backup / Just Internet - LAN
- Netz = 192.168.1.0/24
- Default Route = 192.168.1.1/24
- FB.LAN:3(1G) = 192.168.1.1/24
- Purpose = Guest / Backup / Just Internet - WLAN
- Netz = 192.168.2.0/24
- Default Route = 192.168.2.1/24
- FB.WLAN-GUEST = 192.168.2.1/24
Ach und ich habe gesehen, dass ich theoretisch bis zu 4 Wifis aufspannen kann; we will see...
Viel Spass beim "frickeln" 
Habe heute ne rumliegende Fritte als IP-Client hinter ne PfSense an OPT1 gehängt und darüber einen WLAN --> LAN-Zugang und sogar ein eigenständiges Gast-WLAN fürs Internet zum laufen bekommen. Klar hatte die WAN über Modem.
Was du willst, ist "von hinten mit der Faust durchs Auge".
Schnapp dir nen Modem (kann ja ne alte FB 7412 sein) "Die Leistungsaufnahme beträgt durchschnittlich 6 Watt und maximal 10,3 Watt." AVM
Du sparst ja auch den Stromverbrauch des Modems deiner jetzigen Fritte...
Ansonsten: aquis Posts lesen und befolgen ist hier eine 99%ige Erfolgsgarantie.
e mare libertas
Buc
Habe heute ne rumliegende Fritte als IP-Client hinter ne PfSense an OPT1 gehängt und darüber einen WLAN --> LAN-Zugang und sogar ein eigenständiges Gast-WLAN fürs Internet zum laufen bekommen. Klar hatte die WAN über Modem.
Was du willst, ist "von hinten mit der Faust durchs Auge".
Schnapp dir nen Modem (kann ja ne alte FB 7412 sein) "Die Leistungsaufnahme beträgt durchschnittlich 6 Watt und maximal 10,3 Watt." AVM
Du sparst ja auch den Stromverbrauch des Modems deiner jetzigen Fritte...
Ansonsten: aquis Posts lesen und befolgen ist hier eine 99%ige Erfolgsgarantie.
e mare libertas
Buc
1
