luckymchn
Goto Top

Server 2008 DC als VPN-Server, Einwahl klappt aber kein Netzwerkzugriff

Hallo,

seit Tagen versuche ich ein Problem zu lösen das ich derzeit mit der VPN-Einwahl habe.
Die Clients können sich ohne Problem auf dem VPN Server einwählen. Der Server steht hinter einem DSL-Router mittels "Passthroug" werden die Clients bzw. deren Anfragen an den VPN Server weiter geleitet.

Auf dem VPN Server ist DHCP installiert und aktiviert, ebenso ist ein DNS Server vorhanden (Ist bei DC ja üblich!). Ein DC als Einwahlserver wurde gewählt damit es ohne viel Aufwand eine AD Zugangsberechtigung gibt die auch die verschiedenen Benutzerrechte berücksichtigt. Ein normaler VPN-Router bringt das nicht so.

Die Einwahl klappt ohne Probleme, der DHCP weist die richtigen IP's zu, ebenso werden die Server bzw. Bereichsoptionen mitgegeben.
Bis hierher ist alles richtig und läuft einwandfrei.

Was nicht geht, ist der Zugriff auf verschiedene Netzwerkressourcen sowie virt. Maschinen.
Habe schon mehrfach die RAS-Konfig geprüft, ist benutzerdefiniert eingerichtet als VPN-Server, also ohne Assistent.
Der Client kann den Server anpingen aber sonst keinen anderen Rechner.

Auch die Clienteinstellungen müssten passen, den auch nach erfolgter Einwahl ist der Internet zugriff möglich. (Entsprechender Hacken bei den Netzwerkeinstellungen wurde rausgenommen.

Bisher funktionierte das Ganze auch mit einen 2003 Server bzw. Domänencontroller (DC) ohne irgendwelchen Problemen.
Der Ärger taucht erst auf als der 2003 DC durch einen 2008 DC ersetzt wurde.
Ich habe natürlich vorher gegoogelt bevor ich hier die Frage reinstelle, aber es gibt zwar viel über VPN zu finden aber eine passende Lösung für mein Problem habe ich nicht gefunden. Allerdings waren auch die Fragestellungen anders.

Kann es sein das ein 2008 VPN Server soviel anders ist als ein 2003 VPN Server?
Oder liegt es daran das der VPN Server ein DC ist?

Folgende Maßnahmen im Rahmen der Fehlersuche habe ich ausgeführt:

RAS neu aufgesetzt und konfiguriert

Mittels Gruppenrichtlinienverwaltung:
Gruppenrichtlinie für DC außer Kraft gesetzt
Gruppenrichtlinie für Domäne außer Kraft gesetzt.

Firewall ausgeschaltet (beide, sowohl über GPO als auch über firewall direkt in der Systemsteuerung

Nachdem mir jetzt im Moment nichts mehr einfällt, wende ich mich hier ans Forum.
Vielleicht hat einer die passende Lösung oder einen produktiven Input

Schon mal danke für Support
Lucky

Content-ID: 222262

Url: https://administrator.de/forum/server-2008-dc-als-vpn-server-einwahl-klappt-aber-kein-netzwerkzugriff-222262.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

aqui
aqui 18.11.2013 aktualisiert um 12:29:26 Uhr
Goto Top
Hacken ?
http://www.duden.de/suchen/dudenonline/der%20Haken

Interessant wäre zu wissen WELCHES VPN Protokoll du verwendest ?? PPTP, L2TP, OVPN ??
Grundlagen zur PPTP Einrichtung findest du hier:
VPNs einrichten mit PPTP

Es gibt mehrere Möglichkeiten woran es liegen kann:
  • "Passthrough" wie du es oben nennst ist natürlich ziemlicher Blödsinn !! Wenn dein VPN Gateway hinter einem NAT (Adress Translation) Router steht musst du hier zwingend Port Forwarding am Router verwenden. Welche Ports du forwardest hängt entscheidend vom verwendeten VPN Protokoll ab. PPTP: TCP 1723 und das GRE Protokoll mit der IP Nummer 47 (kein TCP/UDP 47 !), L2TP: UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 (kein TCP/UDP 50 !). Andere protokolle nutzen noch andere Ports !
  • Deine Firewall Einstellungen der lokalen Firewall sind nicht angepasst. Aus einem VPN kommst du mit einer fremden IP Adresse die die lokale Firewall der Systeme auf die du zugreifen willst sofort blockt, denn sie lässt nur die lokalen IPs zu. Das musst du anpassen. Gilt auch für Ping (ICMP Protokoll)
  • Es ist möglich das die angesprochenen Systeme ein anderes Default Gateway haben. Wenn du nun aus deinem VPN Server kommst mit deinen Paketen schicken diese Systeme alles an das Default Gateway (ggf. der lokale Router) Hat der aber keine statische Route auf den VPN Server gehen die Pakete ins Nirwana. Der VPN Server ist ja dein Router ins VPN folglich muss also ein Default Gateway immer eine statische IP Route auf das VPN mit Next Hop IP VPN Server haben !

Leider sagst du rein gar nix zum Design ob hinter oder nicht hinter NAT usw. und ob das Firewall Profil des Servers entsprechend richtig ist sofern du das VPN mit Winblows realisierst und nicht mit einem Router oder Firewall wie es eigentlich üblich ist.
Prüfe diese 3 wichtigen Kriterien ! Mit an Sicherheit grenzender Wahrscheinlichkeit hast du wie immer in solchen Szenarien eine der 3 oder mehr nicht beachtet und deshalb klappt es nicht !!
Traceroute und Pathping sind hier deine besten Freunde zum Troubleshooting.
LuckyMchn
LuckyMchn 18.11.2013 um 13:29:37 Uhr
Goto Top
Hallo Aqui,

meinte den Haken bzw. Häkchen bei Standartgateway, weiß leichter orthografischer Ausrutscher!! *g*

VPN Protokoll ist PPTP


Am Router, Firewalleinstellungen ist der Port 1723 freigegeben.
Die Einwahl bzw. das Durchschleifen zum VPN Server klappt ja auch.

Ist Passthrough und Port Forwading nicht das Gleiche?

Im Rahmen vom austesten wurde auch die Firewall deaktiviert, so das erst mal keine Anpassungen vorgenommen wurden.

Hätte dann der Netzzugriff geklappt wäre ja die Fehlersuche einfacher geworden weil es dann mit Sicherheit an der Firewall gelegen hätte. Aber dem war nicht so.

Aber ich weiß was Du meinst, dass der Zugriff von außen keine "Domänennetz wäre sonder als "öffentliches Netz" betrachtet würde.
Aber in der erweiternden Firewalleinstellungen kann man alle FW deaktivieren was ich auch gemacht habe.

Auf ICMP hatte ich besonders geachtet, das war mir bekannt

" Aus einem VPN kommst du mit einer fremden IP Adresse die die lokale Firewall der Systeme auf die du zugreifen willst sofort blockt, denn sie lässt nur die lokalen IPs zu"

Sehe ich genauso, deshalb habe ich zum testen die Firewall ausgeschalten, dann dürfte doch nichts mehr blocken!

Das mit der statischen Route kenne ich aus dem VLAN Routing bei DSL-Routing brauchte ich dies bisher nicht. Es ist ja nicht der erst VPN-Server den ich einrichte, allerdings der derzeitige macht mich noch ganz irre.
Die statische Route müsste ich ja dann beim RAS Server eintragen, aber ganz verstehe ich es nicht. Der Client kommt durch den Router zum Server und bekommt vom DHCP eine IP aus dem Domänennetz, somit ist das ja keine fremde IP mehr.
Habe natürlich die Client IP geprüft und die war aus dem Domänennetz. Daraus schließe ich auch , dass das Port Forwarding via port 1723 funktioniert.

Kurz zum Design: Der Zugang vom Internet geht über einen DSL-Router, auf diesen ist auch DynDNs eingerichtet. Für Autorisierung und IP Zuweisung geht es durch bzw. hinter dem Router zu dem besagten VPN-Server.
Der Router hat eine Firewall und der dahinter stehende VPN Server auch, die allerdings zu jetzt zur Fehlersuche ausgeschaltet wurde.
Wenn der Client die IP erhalten hat kann er bzw. der Nutzer im Netz auf Ressourcen bzw VM zugreifen, dieser Zugriff wird über GPO geregelt.

Tracert und Pathping habe ich natürlich verwendet, allerdings mit unbefriedigten Ergebnis bin im Nirwana gelandet bzw. wegen Zeitüberschreitung abgebrochen.

Du kannst also ausschließen dass es keine Besonderheit gibt weil der 2008 VPN Server zugleich DC ist?

Aber erstmal Danke für Deine Antwort.

LG Lucky
Pjordorf
Pjordorf 18.11.2013 um 14:23:51 Uhr
Goto Top
Hallo,

Zitat von @LuckyMchn:
Ist Passthrough und Port Forwading nicht das Gleiche?
Nein.

Im Rahmen vom austesten wurde auch die Firewall deaktiviert,
Welche Firewall? Da ist mehr als eine in deiner gesamten Kette.

Auf ICMP hatte ich besonders geachtet, das war mir bekannt

Sehe ich genauso, deshalb habe ich zum testen die Firewall ausgeschalten, dann dürfte doch nichts mehr blocken!
Auch ier. Welche Firewall?

Tracert und Pathping habe ich natürlich verwendet,
Ein Ping kommt bei dir nicht in Frage? Schon mal die Pakete und deren Verlauf mit einem Kabelhai dir angeschaut? Wo gehen die hin bzw. was kommt nicht zurück usw.

Du kannst also ausschließen dass es keine Besonderheit gibt weil der 2008 VPN Server zugleich DC ist?
Sollten im Normalfall nicht hindern. Aber wir kennen z.B. deine GPOs und alle anderen Randbedingungen deines Netzes nicht.

Gruß,
Peter
LuckyMchn
LuckyMchn 19.11.2013, aktualisiert am 20.11.2013 um 13:04:37 Uhr
Goto Top
Hallo Peter,

erstmal danke für die Antwort.


"Welche Firewall? Da ist mehr als eine in deiner gesamten Kette"

Die Firewall am Router lässt mich ja durch, ansonsten könnte ich mich nicht beim VPN-Server anmelden.
Die anderen Firewalls sind aus, weil ich wie man sehen kann, die relevanten GPO's deaktiviert habe.

Stelle gerade fest dass man hier keine Bilder einfügen kann!!!!
Also in Worten, wenn die GPO deaktiviert ist, ist auch die integrierte Firewall deaktiviert, um genau zu sein sind es ja 3 FW :domain, public, privat

Außerdem ist auch die Servereigene FW (Systemsteuerung) deaktiviert.

Hatte schöne screeenshots vom Router, aber geht halt nicht!

Beim rumprobieren ist mir aufgefallen, dass wenn der DHCP Server aus ist, der RAS eine Apipa IP in der Form 169.200.x.x ausgibt sowohl an den Client wie sich selber auch.

Die passt ja gar nicht zum LAN, aber in dem Fall kann ich alle Maschinen pingen, verstehe jetzt die Logik bzw. Unlogik nicht.

Das Netz ist 192.168.152.0, Der Router ist 192.168.152.1, Der RAS ist 192.168.152.22 (10)
Der DHCP hat den Bereich 192.168.152.50 aufwärts. Alle FW aus, das müsste doch flutschen!!

Wenn ich mit dem "Hai" prüfe wie der Ping läuft taucht immer wider redirekt nach 192.168.152.1 (DSL-Router) auf, müsste der Ping nicht über die Lan Adrrsse des VPN-Server (192.168.152.22) zum client z.B 192.168.152.10 laufen.

Habe auch am DSL Router eine statische Route eingetragen Ziel Netz 192.168.152.0 Gateway 192.168.152.1.

Aber ist das nicht doppelt gemoppelt nach dem der DSL Router ohnehin die 192.168.152.1 hat.

Normalerweise ist VPN überhaupt kein Problem nur in diesem Fall ist irgendwie der Teufel drinnen.!!!
Aber vielleicht falle ich immer über den gleichen Fehler, schauma mal ob ihn einer von Euch gleich sieht!!

ciao Lucky
aqui
aqui 20.11.2013 aktualisiert um 17:10:12 Uhr
Goto Top
..."Stelle gerade fest dass man hier keine Bilder einfügen kann!!!! "
Blödsinn wie immer…. FAQs bitte lesen !
  • Klicke oben auf dein Symbol, meine Inhalte, dann Fragen und wählen deinen Thread hier aus !
  • Da klickst du auf "Bearbeiten" und siehst oben im Menü "Bilder hochladen"
  • Das klickst du und lädst dein(e) Bilder(er) hoch
  • Denn erscheinenden Bilder URL cut and pastest du mit einem Rechtsklick und sichern
  • Diesen URL kannst du jetzt in jeglichen Text hier bringen. Auch Antworten und PMs. Statt des URLs wird immer dein Bild angezeigt.
So einfach ist das…..
Pjordorf
Pjordorf 21.11.2013 aktualisiert um 00:41:26 Uhr
Goto Top
Hallo,

Zitat von @LuckyMchn:
Die anderen Firewalls sind aus, weil ich wie man sehen kann, die relevanten GPO's deaktiviert habe.
Ich meinte deine Router Firewalls auf beiden seiten, deinen Client Firewalls auf beiden Seiten, deinen evtl RRAS Server mit ihren Firewalls usw. Die Kette von einem Ende zum anderen Ende hat also mehr als EINE Firewall. Welche meinst du dann immer?

Also in Worten, wenn die GPO deaktiviert ist, ist auch die integrierte Firewall deaktiviert, um genau zu sein sind es ja 3 FW :domain, public, privat
FALSCH, das sind keine getrennten Firewalls. Das ist eine einzige Firewall aber 3 verschieden Profile oder Zugriffsszenarien die von Hause unterschiedliche einstellungen aufweisen.

Außerdem ist auch die Servereigene FW (Systemsteuerung) deaktiviert.
Firewalls deaktivieren ist immer schlecht bzw. ein Zeichen das jemand keine bzw. wenig Ahnung hat was denn nun passiert. (Alles was der Mensch nicht kennt oder erklären kann macht ihm Angst und daher will er es vorsorglich Vernichten).

Hatte schöne screeenshots vom Router, aber geht halt nicht!
Aqui hats dir doch gesagtface-smile

der RAS eine Apipa IP in der Form 169.200.x.x ausgibt
APIPA haben 169.254.0.0/16. Deine ist somit keine APIPA. Und wenn der RRAS dem Client diese IP zuteilt ist es auch keine APIPA. Eine APIPA kann ein Client sich nur selbst ausstellen, eben weil er keine IP angeboten bzw. zugeteilt bekommen hat. Damit hat ein Client auf jeden fall eine IP sodass Programmen zumindest nicht schon an einer 0.0.0.0 scheitern. Wenn dein Client also eine APIPA hat, hat er sich diese mangels eines DHCP Servers (Egal ob echter DHCP Server oder RRAS dies tut) selbst ausgestellt.

Die passt ja gar nicht zum LAN, aber in dem Fall kann ich alle Maschinen pingen, verstehe jetzt die Logik bzw. Unlogik nicht.
Du hast ein RRAS bzw. Router eingerichtet. Wie lauten die Routen? Ohne ein Routen ist kein Zugriff möglich.

Das Netz ist ...192.168.152.000,
Der Router ist 192.168.152.001,
Der RAS ist ...192.168.152.022 (10)
Der DHCP .....192.168.152.050
Untereinander stehend zeigen alle auf EIN (1) Netz. Wie willst du in Ein (1) Netz von wo nach wo Routen? Da jätt nett.

Wenn ich mit dem "Hai" prüfe wie der Ping läuft taucht immer wider redirekt nach 192.168.152.1 (DSL-Router)
Schicke alles was du nicht kennst an das GW (dein DSL Router) anstatt direkt an das andere Netz. Dein Router sagt dir das du auch einen Direkten Weg zum anderen Netz hast, aber du hast eben keine Route dahin. IPConfig /all sowie Route Print sind deine Freunde.

Habe auch am DSL Router eine statische Route eingetragen
Warum?

Ziel Netz 192.168.152.0 Gateway 192.168.152.1.
Was soll denn deiner Meinung nach hier geroutet werden? Netzangabe bzw. Subnetzmaske fehlt.

Aber ist das nicht doppelt gemoppelt nach dem der DSL Router ohnehin die 192.168.152.1 hat.
Nimm ein Stück Papier und Bleistift. Mal dein Geräte alle auf. Schreib die jetzigen IPs an den jeweiligen Geräten. Was ist daraus zu erkennen? Jetzt schreib deine gewünschte VPN Verbindung hinzu. Gib aucvh diese deine wunsch IPs. Macht ein Routing jetzt sinn? Hat jedes Gerät und jedes Netz seine ihm zugewiesene IPs? Ist es so jetzt auch auf deinen VPn Server eingerichtet bzw. sind die Firewalls entsprechend angepasst?

schauma mal ob ihn einer von Euch gleich sieht!!
Diese herausforderung nimmt keiner an solange du deine IPs und Netzaufbau nicht darlegst sowie welches Gerät wie womit (IPs, Maske etc.) konfiguriert ist und von wo nach wo geroutet wird (Routing tabellen der jeweiligen Geräte / Router / VPn server / RRAS usw.). Erst dann könnte wir überhaupt eine Fehler erkennen wenn den einer existiertface-smile Fangfrage, gell?

Gruß,
Peter
LuckyMchn
LuckyMchn 21.11.2013 um 16:40:03 Uhr
Goto Top
Hallo Peter,

um es gleich vorweg zu nehmen ich habe eine Lösung gefunden die passt. Kann ja nicht stundenlang zum ausprobieren die Einwahl lahm legen.

Meine Lösung war einfach habe einen W2k3 Server mit RAS und Radiusauth. konfiguriert.
Und siehe da das hat auf Anhieb funktioniert.

Die Konfigurationseinstellungen genau wie der SV 2008 auch benutzerdefiniert eingerichtet

Es ist auch alles identisch wie vorher, der Gleiche DC, DHCP, Router gleiches Netz usw.

Aber nachdem ich ja hier im Forum angefragt hatte wollte ich auch den Input bzw. Feedback geben. Das heißt aber nicht, dass ich mich nicht weiter mit der vorher gegangen Problematik befasse, und auch Euere Beiträge zu gewissen Überlegungen geführt haben.
A bisserl spitzfindig bist schon, denke aber Du hast schon verstanden was ich mit 3 FW meinte. Hätte ja auch noch was über Netzwerkstandorte schreiben können wo dann welches Profil greift, aber so vertiefen wollen das dann doch nicht, gell!

Mit Ahnung bzw. wenig Ahnung hat es wenig zu tun wenn ich die FW's deaktiviere, ich weiß ja nicht wie Du es machst aber zuerst muss ich doch mal gewisse Möglichkeiten die mich blocken können ausschalten. Bekanntermaßen sind dies auch oft FW Einstellungen. Was in meinem Fall aber nicht heißt das es nach der Behebung der Störung dabei bleibt.

Hatte schon in den FAQ's nach geschaut, da stand dann was einen Entwurf machen die Bilder hochladen und daraus den Link kopieren, da war dann doch zu umständlich.

Aber wie schon erwähnt möchte ich die das entstandene Problem trotzdem grundsätzlich betrachten und ggf. mit der Hilfe von hier vom Prinzip her lösen.

Es ist doch eigenartig das es mit einem SRV 2003 ohne Problem klappt im Gegensatz zu einem Einsatz eines W2008

Damit wir uns qualifiziert weiter unterhalten können ein paar Eckparameter :
Das betroffene Netz ist das 192.168.152.0 die Rechner stehen in einer Domäne.

Die Einwahl erfolgt über einen DSL-Router der Lanseitig die IP 192.168.152.1 hat.
Von außen wirkt die IP des ISP. Der Router bzw. die Firewall hat einen Eintrag für den VPN-Server der hinter dem Router steht wobei port 1723 für PPTP mit Verwis auf die Server(LAN)-IP frei gegeben ist.

In der jetzt aktuellen Version ist der VPN-SRV ein W2k3 Server mit RAS (IP ist eine feste IP aus dem LAN) mittels Radius Authentifizierung (Der VPN ist Radius Client) wird ein DC (Radius Server ) abgefragt und Einwahlberechtigung oder auch nicht erteilt.
Alle FW's sind aufgeschaltet

Bei der Problem Version war der VPN-SRV ein W2k8 DC mit RAS, DHCP,DNS.
Eigentlich eine Konfiguration die passen müsste!! Was aber so nicht war.
Der VPN nahm den Client an vergab ihm eine IP aus dem LAN. Das mit der 169.200 passierte als ich vergessen hatte den DHCP zu starten und dem RAS auch keinen eigenen IP-Bereich zugeordnet hatte.
Aber weil du von der Default Route 0.0.0.0 schreibst, da ist mir dann aufgefallen das für diese der RAS keinen Eintrag hatte.
Wenn ich es richtig weiß, müsste doch in dieser Konfiguration bei dem Server die default Route auf das Default Gateway zeigen.

Der Eintrag mit der statischen Route war ein Schmarrn, irgendwer hat gesagt probiere es mal so.Wie gesagt es geht ja ohne diesen Eintrag.


"Das Netz ist ...192.168.152.000,
Der Router ist 192.168.152.001,
Der RAS ist ...192.168.152.022 (10)
Der DHCP .....192.168.152.050
Untereinander stehend zeigen alle auf EIN (1) Netz. Wie willst du in Ein (1) Netz von wo nach wo Routen? Da jätt nett."


Die Daten sind ja nur das lokale Netz, logisch das die ersten 3 Oktetten oder sollte ich besser sagen Netzanteile gleich sind ist nun mal bei einer C-Klasse so.
Welche IP nun der Einwählende hat kann bzw. muss mir ja egal sein solange es nicht der gleiche IP-Bereich wie mein LAN ist.
Zurück zum Server, vielleicht ist beim 2008 doch etwas anders zu machen, wer hat den einen VPN-RAS Server in Betrieb ggf. der auch als DC agiert?
Lösen würde ich das Problem schon gerne, vielleicht ist es ja nur ein klitze kleines Häckenchen irgendwo!!
Ciao Lucky
aqui
aqui 22.11.2013 aktualisiert um 17:43:41 Uhr
Goto Top
Port TCP 1723 ist nur die halbe Miete beim PPTP VPN Protokoll wie jeder Netzwerker weiss. Die Daten werden in einem GRE Tunnel transportiert !!
GRE (Generic Route Encapsulation) ist ein eigenständiges IP Protokoll mit der Nummer 47 (Achtung nicht TCP oder UDP 47 !)
Folglich musst du also zum TCP 1723 auch noch GRE forwarden im Port Forwarding auf Router oder FW !!
Siehe auch hier:
VPNs einrichten mit PPTP
im Kapitel "VPN hinter NAT Firewall" mit der PPTP Port Forwarding Beispielkonfig einer FritzBox !
Tust du das nicht wird PPTP nicht übertragen und eine Verbindung scheitert sicher !
Vermutlich ist das bei dir der Fall weil du schlicht und einfach GRE vergessen hast. PPTP besteht eben nun mal aus diesen beiden Komponenten.
LuckyMchn
LuckyMchn 04.12.2013 um 15:39:21 Uhr
Goto Top
Hallo,

meine wie oben beschriebene Konfig. läut ohne Probleme. Mir ist es immer noch schleierhaft warum die Konfig mit einen Server 2003 ohne wenn und aber läuft und miteinem Server 2008 es diverse Problem, wie auch oben beschrieben gibt. Hatte in der letzten Zeit auch nicht die Zeit mich damit tiefer gehend zu befassen.
Möchte mich aber bei dieser Gelegenheit für die verschiedenen konstruktiven Antworten und Beiträge bedanken.

@aqui ob Du es glaubst oder nicht, ich habe den Port 1723 forwarded und keinen GRE Eintrag vorgenommen, weil es bei dem Router nicht mal die Auswahl für GRE gab aber die VPN- Einwahl funktioniert einwandfrei.

Habe mich mal mit Deinem Tut: "VPN fähige Firewall im Eigenbau oder Fertiggerät"
befasst. Muss sagen eine gute übersichtliche Anleitung.l
dabei gehst Du von zwei getrennten Netzen oder sollte ich besser sagen VLans aus
Das müsste doch mit mehren Vlans auch gehen? Was mich interessieren würde. woher weiß die Firewall welchen Benutzer bei der Einwahl (VPN) sie in welches Vlan schieben muss

Oder bezieht sich Deine Konfig mehr darauf das unterschiedliche Netze einen gemeinsamen Internetzugang haben (Beispiel 1) Beispiel 2 spricht hingegen eher für eine Einwahl und Verteilung auf die verschiedenen Netze.

Beim Varia Store gibt es beide Varianten Monowall und Pfsense in kombi mit Alix 2D13
Welchen würdest den Vorzug geben?

LG Lucky