iobroker auf Docker auf Synology mit macvlan IPv6 (Matter)

Qlink

Hi Leute,

ich verwende iobroker auf Docker auf Synology mit macvlan.

Ich möchte nun gerne Matter nutzen, u.a. für mein neues Nuki Ultra. (Nuki nutzt Matter over Thread)
Jetzt habe ich schon einiges gelesen und probiert und scheitere daran das Nuki per Matter in iobroker verbunden zu bekommen.

Ich habe mittlerweile gelernt, dass Matter IPv6 voraussetzt und IPv6 in der Kombination mit Synology und Docker anscheinend mit Vorsicht zu genießen ist.

Ich vermute daher, dass genau diese Konstellation die Ursache ist, warums bei mir mit meinem Nuki nicht klappt.

Für Matter over Thread braucht es zusätzlich einen Thread Boarder Router (TBR), der die Übersetzung von IPv6 nach Thread übernimmt.

Da ich mit IPv6 noch sehr wenige Berührungspunkte hatte, bitte ich um eure Unterstützung.

Hier mein System:

Router/Gateway: Unifi Cloud Gateway Ultra mit der Adresse: fe80::1/64
Synology DS1821+ mit den Adressen:

iobroker Container mit der Adresse:

Matter Adapter zeigt folgendes an:

Thread Boarder Router: Nanoleaf Shapes Controller (von dem weiß ich aktuell nur die IPv4 Adresse)
Matter over Thread Gerät: Nuki Ultra (von dem weiß ich aktuell nur die IPv4 Adresse)

unter folgendem Link: https://github.com/ioBroker/ioBroker.matter/wiki/Troubleshooting#sonderfall-synology-stand-05032025-dsm-722-container-manager-2402
habe ich den Hinweis gefunden, dass es helfen kann, wenn ich eine Route in meinem UCG einrichte, die vom TBR (Nanoleaf Controller) zum Nuki zeigt.

Jetzt stehe ich vor dem Problem, dass ich weder von meinem TBR noch von meinem Nuki die IPv6 Adresse kenne.
Das UCG Ultra zeigt mir von beiden Geräte leider nur die IPv4 Adresse an.

Kann mir wer helfen, wie ich am besten die IPv6 Adressen der beiden Geräte herausfinden kann ?
Bin ich allgemein auf der richtigen Spur bei dem Thema oder überhaupt schon wo falsch abgebogen ?

Danke für eure Unterstützung.

Beste Grüße

Neuschwansteini

@qlink

IPv6 ist der Grund, warum ich Matter nicht mag, keine Ahnung, welcher Honk sich sowas ausdenkt.. als haette man im isolierten eigenen Smarthome ein IPv6 noetig..
Das mag bei Usern gehen, die ne Fritzbox und 10 Devices haben.. aber egal..

das Problem wird sein, dass Synology das IPv6 nicht richtig umgesetzt haben, ich meine @ioT4db hatte da mal ne Idee dazu???

Qlink

@neuschwansteini said in iobroker auf Docker auf Synology mit macvlan IPv6 (Matter):

das Problem wird sein, dass Synology das IPv6 nicht richtig umgesetzt haben, ich meine

Das scheint nur teilweise richtig zu sein.
Denn es haben User schon zum Laufen gebracht in genau der Konstellation (z.B. im homeassistant forum)

Also grundsätzlich scheint es eine Lösung zu geben ...

Neuschwansteini

@qlink

und was haben die gemacht? Bzw koennte es evtl in HA besser geloest sein?
Setz doch mal n HA Container auf und probiers aus, obs damit geht..

Neuschwansteini

@qlink

ich habe meine 9 Nukis (darunter auch ein Ultra) mit dem https://github.com/technyon/nuki_hub. eingebunden, das ist lokal, sicher, passwort geschuetzt, den Webserver kann man disablen.. also sehr safe und spricht per mqtt mit iobroker.

Keine IPv6 Kruecke notwendig und kein gefummel.
Die ESP's sind WT32-ETH also kabelgebunden, kein Wifi.

OliverIO

@qlink

IPv6 in docker besteht aus 2 Schritten

1. ipv6 in docker aktivieren
2. den richtigen cdir herausfinden und konfigurieren

Schritt 1 findet man hier
https://docs.docker.com/engine/daemon/ipv6/#use-ipv6-for-the-default-bridge-network
Und hier wird bei der synology evtl. das Problem liegen, da man entweder selber an der Konfiguration rumfummeln muss oder in synology dann eine Einstellung dazu finden muss.

Schritt 2
Muss ich selber nochmal schauen, da ich das letzten November gemacht habe. Den cidr habe ich in meinem Router nachgeschlagen, den bekommst du vom Provider zugeordnet innerhalb dessen dann die Geräte ihre ipv6 Adresse heraus generieren können, wenn es eine öffentliche Adresse sein soll.

Ok hier die Ergänzung zum cidr auf Basis Telekom und speedport

Im speedport auf
Internet /Ip adressinformation IPv6 / gehen

Bei Nutzbarer Adressbereich für LAN steht eine Zahl so wie ungefähr diese. (Teilweise mit 0 Anonymisierung)
2003:0000:0000:0000::/64

Davon nehmt ihr die ersten 3 Gruppen und tragt diese in die deamon.json vom docker wie folgt ein
Die komplette deamon.json sieht dann bei mir wie folgt aus

{
  "ipv6": true,
  "fixed-cidr-v6": "2003:0000:0000::/64",
  "ip-forward": true
}

Nach dem Neustart von docker seht ihr im Bridge Netzwerk auch ein IPv6 gateway. Wenn es mit fad beginnt ist es nur rein lokal

Das folgende ist für matter nicht notwendig:
Wenn der container auch öffentlich sichtbar sein soll, müsst ih ein eigenes Network anlegen im Bereich des zugewiesenen öffentlichen Präfixes und den Container diesem Netzwerk zuweisen.
Dann benötigt ihr aber auch einen eigenen Firewall, da dieser Container dann frontal dem Internet ausgesetzt ist. Idealerweise steht nur der Container mit Firewall und andern sicherungsmassnahmen im Internet. Der netzwertraffik wird dann über ein anderes Network an die Dienste Container geroutet.
Aber seid vorsichtig. Da kann man viel falsch machen und jeder public Rechner wird entdeckt und angegriffen.

Neuschwansteini

@oliverio

DANKE fuer die ausfuehrliche Erklaerung!
Wenn ich die Muse und Zeit dazu mal habe, werde ich das spasseshalber mal testen.. allerdings ist es bei mir noch etwas komplizierter, anstatt Speedport ist eine Fritzbox da und dann ein Unifi-UDM-Pro, das zerbroeselt alles in kleine Vlans..

Dein letzter Satz mit Vorsicht und falsch und public und angegriffen ist natuerlich bei einem Smartlock nicht zu gebrauchen, meiner Meinung nach.
So toll Matter sein koennte, aber das mit IPv6 haben se ordentlich vermasselt, das benutzerfreundlich und sicher einzusetzen.

OliverIO

@neuschwansteini

IPv6 ist ein Muss für die Zukunft.
Die Limitierungen von IPv4 werden sich immer mehr auswirken.
Es gibt quasi keine verfügbaren IPv4 Adressen mehr.
Krücken dazu merken bspw die lieben Vodafone Nutzer mit ihrem ds light. Telekom Nutzer können von Glück sprechen da die Telekom sich große Blöcke mit v4 Adressen gesichert hat.
Durch wachsende Digitalisierung auch in der 2. und 3. Welt ist es unumgänglich auf IPv6 zu setzen. Wenn aber zumindest die interconnections nicht durchgängig auf IPv6 arbeiten bis du ausgesperrt, wenn du nur IPv6 nutzen kannst.
Selbst github ist über v6 immer noch nicht erreichbar.

Wer es testen möchte:

ping -6 github.com

Neuschwansteini

@oliverio
Moechte jetzt nicht soviel OT werden..

ja, der Sinn von IPv6 ist mir klar, im oeffentlichen weltweiten Service geht das nicht anders.
Aber im Heimnetz... ?? das finde ich doch gerade so gut, IPv6 bleibt draussen, mein Router managed meine eigenen Netze und das so einfach wie moeglich.
VPN geht ueber IPv6 - ist auch kein Problem.

Gerade so Dinge wie Routing etc und das noch per IPv6, einem Anfänger zu überlassen sehe ich sicherheitstechnisch als kritisch an. Daher meine Kritik bei Matter, dass IPv6 voraussetzung ist.
Mir gehts halt auch um die Bedienung und Sicherheit fuer Einsteiger, sagen wir mal, ich kauf mir ne Fritzbox, n Raspi und n Nuki Ultra, dazu noch n Apple Homepod Mini. Damit bekomm ich einfach das Nuki dann mit iobroker uebern Homepod eingebunden per Matter zum laufen, wenn ich ein IPv6 Anschluss habe und es auch intern verwende, vorausgesetzt, AVM bastelt keinen Bug rein.

Andererseits kann das Ultra aber auch mqtt, das geht dann auch direkt in den iobroker, wenn man das Wifi des Nuki nutzen moechte.

MartinP

@neuschwansteini IPv4 wird zumindest mittelfristig auch im Heimnetz an Bedeutung verlieren, ob es aber sinnvoll ist den IPv4 "Ballast" aus seinem Wissensschatz schon jetzt zu vergessen, ist sicherlich fraglich.

Bei netbios, decnet usw. bin ich den Schritt aber gegangen

Irgendwann in Zukunft denkt man sich dann, wenn man wieder mal nach längerer Zeit mit IPv4 in einem abgeschotteten Netz in Berührung kommt: "Wie war das noch"

OliverIO

@neuschwansteini
Ja nicht zu ot

Bei IPv6 gibt es kein routing mehr, kein nat mehr. Jedes gerät hat eine public und eine private ip. Du entscheidest ob public oder nicht.
2 Protokolle erhöhen die Komplexität. Bei Umsetzung von einem Protokoll in das andere bleiben funktionalitäten hängen.

ioT4db

Hi @qlink

um die ipv6 des TBR rauszufinden, könntest du bspw. dieses Tool einsetzen: https://www.tobias-erichsen.de/software/zeroconfservicebrowser.html

Ansonsten wirst Du zum momentanen Zeitpunkt wohl nicht um eine statische Route herumkommen, jedenfalls hab ichs anders nicht hinbekommen. Synology scheint das Router Advertisement (RA) irgendwie nicht sauber umzusetzen.

VG

Qlink

@iot4db

Danke für den Tipp mit dem zeroconfservicebrowser.
Leider wird mir genau beim Eintrag _nanoleafapi._tcp. (mein TBR) nichts angezeigt.
Bei allen anderen Einträgen schon...

Schön langsam hab ich das Gefühl, dass der Nanoleaf Controller vielleicht einen ab hat und sowieso nicht der beste Kandidat ist meinen TBR zu spielen.

Hast du einen Tipp für mich für einen guten, stabilen, sparsamen TBR, den ich mir zulegen kann ?

ioT4db

@qlink
Moin, also momentan nutze ich einen Homepod mini als TBR, aber hatte es auch schon mit einem Amazon Echo Studio ausprobiert. Da wir iPhoner sind, hat sich der Homepod einfach angeboten und läuft unauffällig. Ich hatte mir den gebraucht gekauft und da biste etwas Glück mit 60€ dabei...

Das war zum Testen von ioB mit Matter einfacher als gleich einen eigenen openTBR einzurichten. Dahingehend tut sich ja auch grad einigen am Markt, so dass ich eigentlich irgendwann auf einen "unabhängigen" TBR umsteigen möchte...

Qlink

@iot4db said in iobroker auf Docker auf Synology mit macvlan IPv6 (Matter):

openTBR

Nur zum Verständnis für mich:

Brauchts für einen TBR eine eigene spezielle Hardware, oder geht das auch rein in Software ?

Hab hier eine Docker Variante gefunden, die ich auf der Syno laufen lassen könnte:

https://openthread.io/guides/border-router/build-docker?hl=de

Würde das funktionieren anstelle von Homepod mini oder Echo Studio ?

ioT4db

@qlink es ist eine Kombination aus beidem. Das Projekt was Du verlinkt hast ist auch das was ich meine und liefert u.a. die Software. Was eine Software aber nicht leisten kann ist das Senden/Empfangen von Thread-Funk-Signalen. Dafür braucht man dann noch Hardware (bspw. Funk-Stick).

So ähnlich behält es sich ja auch bei Zigbee2mgtt > Software (z.B. Docker) kannste installieren, aber brauchst ja noch einen Zigbee-Stick o.ä.

Das beides, Software+Hardware, wäre in einem Homepod mini dann ja schon drin. Weswegen ich es für den Einstieg auch bevorzuge, da eine Baustelle weniger

Und nur zum klarstellen, Matter/Thread kann auch mit einem Homepod ohne Internetzugang verwendet werden, falls das Deine Bedenken sind.

VG

Qlink

@iot4db

Kennst du den SLZB-06 ?
Wäre der ein geeigneter TBR ?

Der scheint ziemlich viel zu können und vor allem wäre er per PoE versorgbar, was für mich eine Grundvoraussetzung wäre...

https://smlight.tech/product/slzb-06/

ioT4db

@qlink ja, kenn ich, hab aber keinen. Also auch der ist "nur" ein Funk-Empfänger/Sender. Normalerweise ist der ein Zigbee-Coordinator, aber per Firmware Update kannste den auf Thread umbiegen.

Du benötigst trotzdem noch eine Software, die die Border-Router-Funktion übernimmt. Eben z.B. mit OpenThread Border Router (OTBR).

Es gibt mittlerweile auch den SLZB-MR1, den ich persönlich interessanter finde, da er gleichzeitig Zigbee- und Thread-Radio sein kann. Aber auch der benötigt noch die OTBR software, um ein TBR zu werden...

Wie schon gesagt, da tut sich noch einiges am Markt...