Matter: Unifi Gateway, VLAN's und Google Pod / Home App

Scrounger

Da mein Netzwerk in verschiedene VLAN's segmentiert ist, ich aber trotzdem gerne matter nutzen möchte, hab ich mir mal die Mühe gemacht, dass alles zu analysieren (Netzwerkverkehr) und was man beim Unifi Controller alles konfigurieren muss, damit das auch über VLAN's hinweg geht.

1. Meine Geräte:

1. ioBroker in einem Proxmox LXC (unpriviligiert), im VLAN 10, IPv6 aktiviert
2. Google Nest Mini 2 & Matter Geräte, im VLAN 20, IPv6 aktiviert
3. User (Android Handy's), im VLAN 30, nur IPv4

In der folgenden Grafik sind alle notwendigen Einstellungen und Firewall Regeln dargestellt, die man im Controller einstellen muss.

2. IPv6 für VLAN 10 & 20 aktivieren
Da ich über die WAN Schnittstelle kein IPv6 habe bzw. konfigurieren möchte, habe ich nur für VLAN 10 und 20 IPv6 mittels SLAAC aktiviert. Wichtig ist das man ICMP für IPv6 von diesen VLAN's zum Gateway zulässt (siehe Grafik).
Man könnte bei ICMP auch nur das zulassen was wirklich notwendig ist, hab ich aktuell noch nicht gemacht, weil dass dann zig Firewall regeln wären.
Weiter habe ich dem ioBroker Server eine statische IPv6 Adresse vergeben, weil ich bei meinem DevServer festgestellt hatte, dass wenn der länger offline war, er eine neue IPv6 Adresse bekommen hatte und somit die Firewall Regeln dann nicht mehr funktioniert haben.

3. mDNS & IGMP Snooping aktivieren
Für alle 3 VLAN's muss mDNS (Gateway mDNS Proxy) und IGMP Snooping aktiviert sein.
Und wichtig prüfen das die vom Controller automatisch erstellte Firewall Regel nicht hinter einer Block All Regel steht, hat er bei mir leider so gemacht.

4. Firewall Regeln konfigurieren
Regeln gemäß der Grafik oben konfigurieren. Für Source die Geräte direkt auswählen, für Destination Objekte erstellen und verwenden. Wichtig da sich die IPv6 Adressen von den Matter Geräten (VLAN 20) ändern können, habe ich dem ioBroker Zugriff auf das VLAN 20 gegeben (Firewall Regel mit roter linie, Destination ist hier VLAN 20), so sieht das im Detail aus:

4. Nest Mini 2 mit Handy koppeln (Google Home App) und VLAN 20 bringen
Dazu muss einmalig das / die Handy's und der Nest Mini 2 ins VLAN 20 gebracht werden. Wichtig ist das in diesem WLAN Client Device Isolation temporär ausgeschaltet ist.
Anschließend die Geräte mittels Google Home App verbinden.
Jetzt sollte das Handy wieder in VLAN 30 gebracht werden und eine Verbindung zu Nest Mini 2 sollte mittels Home App möglich sein

5. Paring mit ioBroker Matter Bridge
Dazu muss das Handy einmalig in das VLAN 10 gebracht werden. Wichtig auch hier wieder temporär muss Client Device Isolation für das WLAN deaktiviert werden und sollte der ioBroker über Kabel angebunden sein, auch bei entsprechenden Port die Port Isolation temporär deaktivieren.
Wichtig ist das ihr eine temporäre Firewall Regel erstellt, die Zugriff von VLAN10 auf VLAN20 zulässt, sieht dann so aus:

Danach startet man den Pairing Prozess mittels der Google Home App. Sobald das geklappt hat kann man die temporäre Firewall Regel wieder löschen und das Handy in VLAN 30 bringen.

Jetzt sollte die Kommunikation zwischen ioBroker Matter Bridge, Nest Mini 2 und Handy funktionieren.

6. Paring Matter Geräte
Das Pairing der Matter Geräte sollte jetzt per Matter Adapter (Controller) funktionieren.

Warum Matter mit IPv6, mDNS, UDP Broadcast umgesetzt ist, versteh ich nicht. Einfach ne IP Adresse eingeben, wäre wohl zu einfach. Aber nun gut so ist, wird man gezwungen etwas mehr über Netzwerke zu lernen.

Wie habt ihr das umgesetzt?