Eye-Q

Schau' dir mal die virtuellen Festplatten an, die der Backup-Appliance zugewiesen sind. Ich gehe stark davon aus, dass da noch virtuelle Platten (bzw. Snapshots) des File- und des Exchange-Servers zugewiesen, diese Snapshot-Dateien gibt es aber nicht mehr, weil ihr die manuell konsolidiert habt.
Die Dateien Emaily16_4-000002.vmdk, SRV-DA20_220707-000002.vmdk und SRV-DA20_220707_1-000002.vmdk sind jeweils Snapshot-Dateien (erkennbar an "-000002" im Namen) von den VMs, die gesichert werden, die werden während der Sicherung an die Backup-Appliance angehängt, so dass die Backup-Appliance direkt darauf zugreifen kann statt über das (virtuelle) Netzwerk.

Wie ist die DNS-Auflösung eingerichtet? Stellt die UFW auch einen DNS-Server bereit und wenn ja ist WS-01 so eingerichtet, dass auch die 192.168.0.126 als DNS-Server verwendet wird? Oder stellt die UFW keinen DNS-Server bereit? In diesem Fall müsste dementsprechend nicht nur HTTP und HTTPS, sondern auch DNS in Richtung Internet erlaubt werden und WS-01 müsste dementsprechend einen oder mehrere DNS-Server im Internet nach der Namensauflösung befragen.

Wieso willst Du die Switches zwischen den VLANs routen lassen? So könnte das Gast-WLAN ja wieder auf das interne LAN zugreifen und Du hättest so gut wie nichts gewonnen...
Stattdessen solltest Du auch auf dem Draytek-Router ein entsprechendes VLAN 2 mit IP-Adresse 192.168.2.10 anlegen, am besten sollte der auch den DHCP-Server für das VLAN beinhalten, der dann die 192.168.2.10 als Gateway ausgibt. Dann im Draytek-Router einstellen, dass das VLAN 2 nur auf das Internet zugreifen darf und fertig ist die Laube.

"Ausgehend" und "eingehend" sind meiner Meinung nach hier nicht die richtigen Begriffe. In diesen Routern stellt man einfach ein, ob eine Verbindung, die auf einem bestimmten Port von extern kommt, auf dem selben oder einem anderen Port an eine interne IP-Adresse weitergereicht wird, das war's.
Eher andersherum, oder? Der TP-Link erscheint in der Fritzbox mit seiner WAN-IP. Da diese WAN-IP in der Standard-DHCP-Range der Fritzbox liegt (ab der 192.168.178.20), gehe ich davon aus, dass der TP-Link seine IP-Adresse von der Fritzbox per DHCP erhalten hat, sofern die DHCP-Range in der Fritzbox nicht geändert wurde. Für eine Portweiterleitung ist eine statische IP-Adresse jedoch besser, also solltest Du im TP-Link folgendes auf dem WAN-Port einstellen:
IP-Adresse 192.168.178.10 (falls Du diese IP-Adresse noch keinem anderen Gerät hinter der Fritzbox gegeben hast, ansonsten eine andere freie zwischen 192.168.178.2 und 192.168.178.19) Subnetzmaske: 255.255.255.0 Standard-Gateway: 192.168.178.1 DNS-Server: 192.168.178.1 Dann im TP-Link die Portweiterleitungen einrichten:
Port 52000 auf die 192.168.0.111 Port 53000 auf die 192.168.0.112 Anschließend in der Fritzbox folgende Portweiterleitungen einrichten:
Port 52000 auf die 192.168.178.10 (bzw. die IP-Adresse, die Du dem WAN-Port des TP-Link gegeben hast) Port 53000 auf die 192.168.178.10 (bzw. die IP-Adresse, die Du dem WAN-Port des TP-Link gegeben hast) Dann kannst Du per <DynDNS-Name>:52000 auf das Gerät mit der 192.168.0.111 und per <DynDNS-Name>:53000 auf das Gerät mit der 192.168.0.112 zugreifen, weil die Fritzbox beide Verbindungen, die von außen kommen, auf den selben Port auf die WAN-IP des TP-Link leitet und der TP-Link dann die eine Verbindung auf die 192.168.0.111 und die andere auf die 192.168.0.112 leitet.

Mit einer VM kann man (fast) alles machen, was man mit einem physikalischen Server auch machen kann, das ist ja der Sinn der Virtualisierung. Wir haben keinen Kunden, der noch einen nicht-virtualisierten Exchange nutzt.