IPv6-Problem mit Matter in einer VLAN-Umgebung

Ich bin dabei, eine Verbindung zwischen Google Home, dem Home Assistant und Matter einzurichten. Eine in HA einzurichtende Matter-Bridge soll ermöglichen, alle an HA angeschlossenen Geräte per Google Home Sprachsteuerung zu steuern. Wen es interessiert hier der Link.

Matter nutzt IPV6.

Ich habe eine VLAN-Umgebung. Der HA (als ein Matter-Device) und der Matter-Hub in der Google-Welt (ein Google Lautsprecher) befinden sich in verschiedenen VLANS. Obwohl eine Regel eingerichtet ist, die allen Verkehr zwischen den beiden VLANS zulässt, können die Devices nicht miteinander kommunizieren. Die Gegenprobe (alles ins gleiche VLAN) hat gezeigt, dass es grundsätzlich funktioniert.

In diesem Thread wird das Problem erörtert und erläutert. Wenn ich das richtig verstanden habe (IPV6 sind mir noch böhmische Dörfer), liegt es daran, dass ein "fe80"-Netzwerk im IPV6 nicht geroutet werden kann.

Ich habe meine Unifi-Umgebung folgendermaßen IPV6-fahig gemacht:

- Prefix Delegation Size aus der Fritzbox in der UDM WAN-Verbindung eingetragen

- In allen VLANS IPV6 so konfiguriert:

Die hier zu sehende "Link local IP" ist nicht von mir eingetragen. Sie ist gar nicht editierbar.

Die Endgeräte erhalten seitdem eine IPV6 Adresse mit fe80:...

Ich verstehe von IPV6 (noch) zu wenig, um zu wissen, was die weiteren Einstellungen bedeuten und ob sie mein Problem lösen.

Kann mir bitte ein IPV6-Wissender auf die Sprünge helfen?

Erstmal danke für deine Antwort.

Quote from swag

Matter kann eigentlich auch ipv4

Nicht alle Devices.

Quote

fe80:xxx. sind locale adressen die sind für Transfers lokal innerhalb eines Netzes gedacht.

Das meinte ich mit "werden nicht geroutet".

Quote from swag

evt ist /56 nicht passend zu den bereitgestellten prefixen des Providers /59 oder /62 könnte hier helfen öffentliche ipv6 zuzuweisen. Ich sehe bei gatewayIP (links neben der fe ip das IPv6 subnet prefix/64 welches für die Devices in dem NEtzwerk verwendet werden.

In der Fritzbox (die die Verbindung herstellt) steht:

IPv6-Adresse: 2003:de:ffff:49ff:b2f2:8ff:fe96:b836/64, Gültigkeit: 14332/1732s

IPv6-Präfix: 2003:de:ff49:7e00::/56, Gültigkeit: 13541/941s

Ansonsten verstehe ich von deinem Kommentar nichts. Sorry, IPV6 ist für mich noch absolut unbekanntes Terrain.

Quote

Falls keine öffentlichen IPv6 verwendet werden sollten statt Prexideligation static antippen und einen eigenen /64 prefix wählen. Denke Unifi sollte dann auch das routing hinbekommen.

Könntest du mir das bitte genauer erklären. Welchen prefix genau kann ich da verwenden? Und je VLAN ein eigener/anderer?

Quote

Welche Regel hast wurde genau eingerichten Zone Regel Intern -> IOT?

Die beiden Netze sind "Trusted Common" (Home Assistant) und "Privat" (Google Home Device). Die Regeln sind "Allow All IPV4 und IPV6" in beide Richtungen. Also komplett offenes Scheunentor.

Quote

Welche Devices können kein ip4? Das google nest?

Die verwendeten können eigentlich alle IPV4. Die Integration von matter in HA spricht aber nur IPV6.

Mein Ursächliches Problem, ist eigentlich schon gelöst.

Das VLAN Setup (redziertt beschrieben):

- VLAN 2 Trusted Common (Zugriff von und zu VLAN 3 und 4

- VLAN 3 Haus (da Wohnt mein Sohn)

- VLAN 4 Wohnung (da wohne ich, in der Einliegerwohnung.

Trennung von VLAN 2 und 3, damit diese sich nicht gegenseitig beeinflussen. Z.B. versehentliches Streaming auf den Chromecast des anderen Haushalts. Trennung der beiden SONOS Systeme - Setup mit zwei Systemen im gleichen Netz geht nicht.

Lösung:

Die Netzwerkkarte des HomeAssistant-Rechners wird zusätzlich in die VLANs 3 und 4 gebracht. Funktioniert und läuft mit local-link Adressen.

Trotzdem habe ich den Ehrgeiz, das auf Netzwerkebene zu lösen.

Quote

Ok Das /56 bekommt die Fritz vom Provider. Sie braucht aber ein /64 für die wan Adresse der UDM da bleibt dann nur noch /57 fürs delegate zur UDM.

Verstanden.

Quote

Wenn Du eins Deiner Netzte anschaust. Siehe Dein Bild mit der fe80 lokalen Adresse sollte bei erfolgreichen delegate noch eine öffentliches prefix stehen 2003:xxx/64 nur dann wird den Clients in dem Netz eine Adresse zugeordnet. Wenn das klappt sollte auch das touting funktionieren.

Diese Infos sind für meinen aktuellen Wissenstand zu dünn. Was genau müsste ich wo konfigurieren?

Erstmal danke für deine Mühen. UNd sorry, wenn es immer etwas dauert, bis ich regiere. Ich habe momentan viele andere Baustellen.

Zu deinem Bild von Netzwerk-Setup:

Hast du die unter "Gateway IP/Subnet" eingetragene IPV6 Adresse willkürlich gewählt oder irgendwo entnommen / abgeleitet?

Ist der im Router vom Provider übermittelte Präfix nciht ein Adressraum, der lokal verwnedet werden kann?

Falls ja - wie?

Quote

wenn ich die Verbindung von meinem Rechner 2a02:8071:****:****:****:****:7ddc:7d98 aus einem anderen Netzwerk herstelle bekomme ich eine

Antwort. (Mein Rechner hat die IP durch ein Delegate erhalten. In diesem Netzwerk sehe ich unter Gateway dann die 2a02:8071:****:****::1/64

Ist Delegate sowas wie DHCP? Also die automatische Zuweisung einer IPV6?

Was bedeutet dann in diesem Zusammenhang "Static"?

Sorry, ich stehe immer noch zu sehr auf dem Schlauch.

Okay. Gaaanz langsam lichtet sich der Nebel. Die Sichtweite ist allerdings immer noch gering...

Bitte bewertet mal folgende Aussagen, der einfachheit halber mit "richtig" oder "falsch":

Ich könnte das vom Provider zugewiesene Präfix verwenden und in diesem Adressraum Teilnetze in meinem LAN generieren. Das hätte den Vorteil (?), dass alle meine Geräte eine weltweit eindeutige IP hätten und evtl. sogar direkt aus dem Internet erreichbar wären.

Allerdings bedeutet das, dass beim Wechsel des Provider-Präfix sich auch alle internen Adressen ändern. Die Konfiguration einer Firewall zwischen den Netzen wäre dann eine Sisyphos-Arbeit. Edit: allerdings nicht, wenn ich mich auf globale Regeln beschränke, die für alle IPs eines Subnetzes gelten?

Also die vermeintlichen o.g. Vorteile fallen lassen und mit einem lokalen Adressraum arbeiten, der mit fc/fd beginnt, weitere Stellen willkürlich gewählt.

Die Fritzbox hat Einstellmöglichkeiten für die IPV6 Adressvergabe und sogar Routing zum angeschlossenen Netz. Da ich aber eine Unifi-Umgebung habe, die das alles selbst regeln kann, könnte / sollte ich IPV6 in der Fritte unberücksichtigt lassen und alles in der UDM einstellen.

Was in der WAN-Verbindung der UDM zu IPV6 eingetragen ist, wäre dann für meine weiteren Betrachtungen irrelevant. Die Einstellungen geschehen (wie bei IPV4) alleine in den Konfigs der einzelnen VLANs.

Dort trage ich Static-Adressen für Subnetze xxxx/64 ein, die ich aus einem übergeordneten Adressraum eines xxxx/56 Netzes gebildet habe. Die Prefix-Delegation an die Clients wird dann automatisch von der UDM im jeweiligen Subnet erledigt.

Quote from swag

entweder werden dort [Anm.: bei den Subnetzen] staische prefix fd eingetragen oder prefix delegation aktiviert. Beim Prefix deligation wird automatisch eine /64 von der UDM zugeordnet. Ist gleichwertig wie ein fd aber zusätzlich weltweit eindeutig und öffentlich. (im Standard aber von der FW geblocked)

Mir geht es ja nur um internes V6. Ich könnte es also auf den WAN Schnittstelle disablen und in den VLANs Subnetze z.B. so konfigurieren:

und weitere Subnetze mit

2. fc00:1:2::/64

3. fc00:1:3::/64

4. fc00:1:4::/64

5. fc00:1:5::/64

6. fc00:1:6::/64

etc.

Quote from swag

Du kannst auch ipv6 am Gateway aktive lassen.

Ich glaube nur, bin mir aber nicht sicher das Du statt zum Beispiel

2. fc00:1:2::/64

das Gateway mit

2. fc00:1:2::1/64

eintragen solltest. Evt einfach ausprobieren

Display More

Wenn ich fc00:1:2::1/64 eintrage weigert sich die UDM das anzunehmen: "Please enter a valid IPV6 address".

Jetzt habe ich aber eine neue Frage:

Wenn ich eine static V6 IP eintrage bleibt die "Link local IP" bei Subnetz eingetragen. Bei einem neuen VLAN generiert das System eine und trägt sie ein.

Wenn ich nun den Infotext an diesem Eintrag interpretiere: "Client devices will use this address as default gateway" frage ich mich: eine nicht geroutete V6 IP als Gateway?

Vermutlich ist das mal wieder ein Wissensdefizit...

Edit1:

Ein "ipconfig /all" am Windows-PC zeigt:

Edit2:

Ein Ping von meinem Windows-PC (VLAN 4) an die Maschine mit Home-Assistant (in VLAN 2, 3 und 4 mit jeweils fe80... und fc... IPV6 Adressen) bringt:

PING: Fehler bei der Übertragung. Allgemeiner Fehler.

Firewallregel zwischen den beiden Netzen: Allow all IPV4 und IPV6 in beide Richtungen.

Inzwischen sieht es so aus:

Der DNS Eintrag entspricht exakt der Netzwwerk-ID. Nicht manuell eingetragen.

Auch ein Ping auf andere Maschinen, sowohl auf ein Handy im gleichen Subnetz als auch auf den HA-Server in einem anderen Subnetz (fc00:1:2::) gehen.

Was nun nicht mehr geht ist das eingangs geschilderte, Matter-Geräte in verschiedenen Subnetzen.

Zur Auffrischung:

Das Matter-Gedöns hat ja funktioniert, nachdem ich einfach den HA-Server (Native VLAN 2) zusätzlich per virtuelle NICs in die VLANs 3 u nd 4 gepackt hatte.

Nachdem ich nun (vermeintlich) in der Unifi-Umgebung IPV6 mit Routing zwischen den VLANS hinbekommen hatte, habe ic die beiden zusätzlichen NICs gelöscht. Mit dem Ergebnis, dass die Matter-Kommunikation nicht mehr geht.

Jetzt bin ich wieder zum oben beschriebenen Workaround mit 3 NICs im HA-Server zurückgekehrt.

Dabei habe ich weitere Erkenntnisse gewonnen:

Wenn es im Netz eine IPV6 Konfig gibt, die zu zusätzlichen fc...-Adressen in den clients führt, geht das Matter-Gedöns nicht. Es wird offensichtlich - erfolglos - versucht, über diese Adressen zu kommunizieren.

Sobald nur die fa80...-Adressen existieren, funktioniert es. Offensichtlich über den HA-Server als "Router" mit seinen 3 NICs.

Hat ne Weile gedauert aber hier bin ich wieder

Quote

Ich würde vermuten das es mit 3 interfaces die jeweils ein fc Netz haben funktionieren sollte aber das diese Frage evt irrelevant ist.

Ist tasächlich irrelevant. Es reicht hier die Link-Local-IP fe80:...

Wenn ich alles im gleichen VLAN habe läuft es sowohl mit nur fe80:... als auch wenn ich zusätzlich static IPs mit fc00:... eintrage. Ich sehe dann tatsächlich, dass die Matter Geräte mit dieser F`fc00:... Adresse kommunizieren. Auszug aus dem Log der Matter-Bridge im Home Assistant:

2025-03-01 10:52:32.272 INFO   CaseServer           Received pairing request from udp://[fc00:1:b:0:9570:4606:eefe:72d]:5540

Die hier angegebene IPV6 IP ist die des Google Home Mini, der als Matter Hub fungiert.

Sobald der HA mit der Matter Bridge aber in einem anderen Subnetz ist, geht es nicht mehr.

Quote

So wie ich es seht hättest Du jetz ipv6 am Start aber läuft in ein Problem mit der ZeroConfig Konfiguration der Geräte. ZeroConfig sprich die Geräte finden sich selber ohne Konfiguration von IP's ect basier meist auf multicastDNS und weiteren Mechanismen. im ipv4 Bereich gibt es dazu bei Unifi auch Einstellungen solche Anfragen weiterzuleiten. Ich habe k.A. und nie ausprobiert ob diese auch bei IPv6 vorhanden sind.

Vielleoicht löse isch die Frage, wie man in der Unifi Ungebung eine vollumfänglich funktionieren de IPV6 Kommunikation zwischen zwei VLANS konfiguriert mal aus diesem Thread und stelle sie separat.

Quote

Generell wollen IOT Geräte Ihren Controller / Gateway im HEimnetz finden. Mit Deinem Konzept zwei getrennte Heimnetze mit einem gemischen Bereich ist das nicht wirklich kompatibel.

Mag sein, Aber ich kann mir bei besten Willen nicht vorstellen, dass bei der Defintion von Matter VLAN-Umgebungen ausgeschlossen sind.

Quote

Daher schätze ich das Dein momentaner Ansatz am einfachsten ist.

Das ist er und funktioniert auch. Da er aber nicht ausdrücklich supportet ist, befürchte ich, dass es irgendwann in der Zukunft nicht mehr geht.