Vigor 167 & FritzBox in Management VLAN erreichbar machen

dvk · May 21, 2025 at 1:31 PM

Hallo,

ich habe ein Draytek Vigor 167 Modem hier am laufen und eine FritzBox 7490 die ich als IP-Client für SIP Telephonie nutzen möchte.

Allerdings habe ich noch Probleme damit die beiden Geräte in meinem Management VLAN erreichbar zu machen. P2 der Vigor geht an P15 meines Switches, LAN1 der FritzBox geht an P16 meines Switches.

Das Management VLAN hat die ID 254, Gateway ist 192.168.254.1 und liefert IP Adressen aus der Range 192.168.254.100 - 192.168.254.255.

P15 und P16 des Switches stehen auf Native VLAN: Management, Block All Tagged Traffic. Auf das Modem hab ich mich via lokaler LAN Verbindung eingewählt und die IP auf 192.168.254.2 geändert. Bei der FritzBox habe ich mich ebenfalls lokal verbunden, die FritzBox als IP-Client eingerichtet und die Verbindungseinstellungen auf DHCP gelassen. Leider kann ich mich weder auf die Admin UI des Vigors noch auf die der FritzBox aus meinem LAN verbinden. Hat hier jemand den heißen Tipp was ich übersehen/vergessen habe?

Anbei noch ein paar Screenshots, ich hoffe das hilft um das Problem zu lösen.

Danke für eure Hilfe!

Vielleicht noch weitere Infos die von Interesse sein könnten:

Das Modem ist via P1 mit der Unifi Express 7 am WAN Port verbunden. Die Express 7 läuft unter 192.168.1.1. Alle anderen Unifi Geräte (Access Points, Switch) sind via Network Override im Management VLAN und haben 192.168.254.x Adressen.

**Networker** · May 21, 2025 at 1:39 PM

Hallo und herzlich willkommen in der Community!

Direkt mal ein Lob für die vielen Screenshots, das hilft! Spontan sieht alles korrekt konfiguriert aus. Kannst Du andere Geräte aus dem Netz 192.168.254.0/24 erreichen?

Naheliegend wäre jetzt, dass die Firewall im Unifi Express 7 die Zugriffe blockt, das könntest Du dann bei den "Flows" auch einsehen. Würde allerdings voraussetzen, dass Du in der Firewall überhaupt das Blocken zwischen privaten Netzen eingeschaltet hast, per default wird nämlich geroutet, nicht geblockt.

Wie sind Deine Einstellungen diesbezüglich?

DoPe · May 21, 2025 at 2:06 PM

Der Rechner mit dem Du zugreifst ist ebenfalls im Management VLAN 192.168.254.0/24? Mit dem Draytek dürfte es nur innerhalb eines VLAN/IP Bereiches klappen, da der vermutlich auch keine statischen Routen unterstützt oder gar ein Gatewayeintrag für das LAN hat, zumindest im Bridge Modus. An dieser Stelle spielt dann die Unifi Firewall keine Rolle, da Traffic innerhalb eines IP Bereiches direkt zwischen den Geräten stattfindet, ohne über das Gateway geroutet zu werden.

Wenn die Fritzbox als IP Client eingerichtet ist, dann sollte die prinzipiell auch das Unifi Gateway als Standardgateway per DHCP zugewiesen haben und müsste aus alles VLANs erreichbar sein, solange die Firewall die VLANs nicht trennt, weil Du es so eingestellt hast.

Prinzipiell würde ich den Zugriff immer erstmal innerhalb eines VLANs checken, beim Draytek wird es auch nicht anders klappen.

dvk · May 21, 2025 at 2:24 PM

Erstmal vielen Dank fürs Willkommen heißen Die VLANs sind separiert. Ich habe eine Secure Zone und eine Unsecure Zone eingerichtet.

Der Rechner von dem ich zugreife ist über ein WLAN in dem Trusted VLAN, also nicht Management. Ich habe aber eine Regel erstellt von Secure Zone zu Secure Zone (Trusted zu Management) in der ich Return Traffic erlaube. Ich dachte so müsste es gehen, aber den Aussagen oben nach zu urteilen geht es daher wohl nicht? Welche Optionen hab ich in dem Fall? Idealfall wäre wenn ich mit meinem Rechner aus dem Trusted VLAN auf den Draytek und die Fritzbox käme.

Hier die angesprochene Firewall Regel noch:

Nachtrag: Auf das Gateway (192.168.254.1) von Management VLAN kann ich einen ping absetzen aus meinem Trusted Netzwerk, auf die Geräte (Switch, APs) nicht, die laufen dann in einen Timeout.

dvk · May 21, 2025 at 2:26 PM

DoPe Kann ich nicht eine statische Route im Draytek (trotz Bridge Mode) hinzufügen? Siehe oben in den Screenshots es gibt den Reiter iPv4 Static Route, wo ich einen Eintrag machen könnte. War mir nur nicht sicher ob der benötigt ist und wenn ja was ich genau eintrage.

DoPe · May 21, 2025 at 2:44 PM

Ich sehe da gar keine Buttons um was hinzuzufügen. Möglicherweise funktioniert das auch nur wenn der als Router läuft und der Menüpunkt ist einfach nur dort angezeigt.

Prinzipiell müsste dort dann eine Route für das IP Netz rein, aus dem Du zugreifen willst mit entsprechender Subnetmaske. Als Gateway würde dort dann die IP des Unifi Gateways aus dem Management VLAN rein kommen. Das wäre aber alles unnötig, wenn man bei der IP Konfiguration des Drayteks einen Standardgateway hätte ... Die im Bild zu sehende Route ist praktisch nur das IP Netz zu dem der Draytek auch gehört, daher auch kein Gateway für den Eintrag weil direkt verbunden.

Die Dinger sind halt als Bridge völlig außen vor und offenbar ist nicht vorgesehen, dass die irgendwie mit irgendwas per LAN kommunizieren können, außer mit einem Client der aus dem lokalen IP Netz die Konfig öffnen will.

dvk · May 21, 2025 at 8:54 PM

Ok Zugriff auf die Fritzbox lag tatsächlich an den Firewall Regeln. Da hatte was nicht gepasst und daher der Zugriff auf das Management VLAN nicht möglich. Für das Modem schaue ich morgen aber ich vermute, dass das jetzt auch laufen sollte mit einer zusätzlichen iPv4 Route. Ich berichte morgen ob sich das Problem gelöst habe oder ob ich nochmal eure Hilfe brauche. Danke schonmal für die Hilfe!

**phino** · May 21, 2025 at 10:15 PM

Als ich noch den dreytek hatte konnte man ein Admin Netz zusätzlich zum Bridge-Modus nutzen, gibt ja P1 und P2. Da hatte ich P2 direkt am Switch und eigenes /24 Netz. Gab da dann nur eine PC der dieses Netz auch hatte. Alles an Unifi vorbei.

DoPe · May 22, 2025 at 6:29 AM

Ich hab ein draytek ohne Gateway Einstellung. Ich habs in mein privates VLAN gepackt und verbinde den LAN Port nur mit meinem vlan wenn ich drauf gucken möchte. Ist ja sonst auch nichts da zu tun und wenn ich den Port mal anderweitig bräuchte, würde ich ganz drauf verzichten. Hab ja auch ein Notbook was zum Konfigurieren direkt ans Modem kommt.

Meist ist das haben wollen weil geht... mit kaum praktischem nutzen.

dvk · May 22, 2025 at 8:25 AM

Hi, ja ich hatte auch schon überlegt, ob es am Ende tatsächlich den Zugriff auf das Modem braucht. Das es nicht ging hat mich dann aber trotzdem genug geärgert, um es ans Laufen bringen zu wollen. Wie oben geschrieben: FritzBox ging via DHCP sobald ich die Firewall Regeln korrekt gesetzt hatte. Auf das Modem komme ich nun auch. Der Tipp mit der statischen Route hat tatsächlich schlussendlich geholfen. Für die Nachwelt:

1. Modem die IP 192.168.254.2 gegeben

2. P2 des Modems an Port am Switch mit Native VLAN: Management und Block all Tagged Traffic

3. Static IPv4 Route am Modem konfiguriert mit Destination IP: 192.168.10.0/24 (Trusted Netzwerk von dem ich aus zugreifen will) und Gateway 192.168.254.1

Danke nochmal für eure schnell Hilfe!

Participate now!