Matter / Thread in einem VLAN-Setup, externer Matter-Server als Lösung?

Hallo zusammen,

ich habe ein wahrscheinlich etwas spezielleres Thema, aber vielleicht hat hier jemand ja schon mal etwas ähnliches gemacht oder darüber nachgedacht.

Ich habe bei uns Zuhause ein segmentiertes Netzwerk (hatte ich in einem Thread zu dem Thema auch schon mal beschrieben). Im wesentlichen habe ich vier Netzwerk-Zonen (VLANs), einmal Home für die ganzen persönlichen Geräte und PCs (sozusagen Trusted Devices). Einmal Services in dem u.A. auch die HomeAssistant VM sitzt, dieser Bereich ist quasi eine DMZ weil er von außerhalb des Heimnetzes (aktuell nur über Wireguard) erreichbar ist. Der Rest des Netzwerkes nicht. Dann gibt es noch ein IoT-VLAN in dem die ganzen IOT-WLAN Geräte angebunden sind und noch ein Gäste/Arbeits-VLAN in erster Linie für unsere Arbeitsgeräte (Laptops & Handys), welches ich aber auch noch für Gäste mitbenutze. Die Verbindung zwischen dem IOT-VLAN und HomeAssistant ist aktuell über spezielle Firewall-Regeln und mDNS-Reflection gelöst, was bisher auch sehr gut funktioniert.

Wie viele die sich damit schonmal befasst haben vermutlich wissen, ist Matter an sich nicht so wirklich für die Verwendung über VLAN-Grenzen hinweg ausgelegt da es mit mDNS (ist lösbar) und mit “link-local” IPv6 Adressen arbeitet, welche nicht über VLAN-Grenzen routbar sind. Die einfachste Lösung hierfür wäre es, wenn man HomeAssistant in das IOT-VLAN zu verlegen was ich aber aus verschiedensten Gründen nicht möchte.

Der Gedanke war jetzt, der in HomeAssistant verfügbare Matter-Server und auch der Open Thread Border Router sind ja im wesentlichen Docker-Container, die auch unabhängig von HomeAssistant gehostet werden können. Um jetzt Matter vernünftig in dem IOT-VLAN unterzubringen und trotzdem die Kommunikation zu HomeAssistant zu erlauben könnte man sich dies doch zu Nutze machen und in dem IOT-VLAN mit Proxmox eine VM oder einen LXC mit Docker hochzufahren und auf dieser den Matter-Server und Open Thread Border Router laufen zu lassen. Beide lassen sich ja auch extern von HomeAssistant betreiben und einbinden. Hierfür müssten nur zwei entsprechende Firewall-Freigaben hinzugefügt werden damit HomeAssistant mit beidem kommunizieren kann. Ich habe bei einer ersten Google-Suche auch schon Beiträge im offiziellen HomeAssistant Forum und einigen Blogs gefunden, die das gehostet haben. Das heißt das sollte erstmal funktionieren.

Die Frage die sich mir hierbei aber stellt ist wie man nun die Geräte in dem Thread-Netzwerk des OTBR und über WLAN dem Matter-Server im IOT-VLAN bekannt macht. Funktioniert das in diesem Setup überhaupt dann noch über die HomeAssistant App (gerade weil das Smartphone ja auch nicht im IOT-WLAN ist, was aber möglich wäre)? Oder müsste man dann hier das pairen dann auch noch über einen Bluetooth-Dongle in der Weboberfläche des Matter-Servers erledigen?

Würde mich sehr über Meinungen, Hinweise oder allgemeinem Gedankenaustausch zu diesem Thema freuen

Hallo,

ich habe dies so gelöst, dass ich einen Proxmox-Server aufgesetzt habe. Proxmox unterstützt auch VLANs. Dann habe ich Homeassistant in VLAN 1 und den Mattercontainer in VLAN 2 installiert. Die VLANs sind so definiert, wie ich sie benötige. Nun kannst Du über die Zugriffsregeln auf Deinem Router den Zugriff von Matter-Bridge auf HA erlauben.

Weitere Infos findest Du hier Matter-Bridge

Viele Grüße
Jürgen

Danke für deine Antwort!

So in etwa hatte ich das ja auch gedacht, dass ich einen LXC/eine VM mit Docker in dem IOT-VLAN aufsetze, in diesem dann den Matter-Server in einem Container laufen lasse und auf diesen dann Zugriff von HomeAssistant erlaube. Das gleiche für den Open Thread Border Router von dem ich mal annehme dass er auch Zugriff auf den Matter-Server braucht. Und damit dieser nicht immer hin und her durch die Firewall muss, würde ich den auch direkt mit in der VM/LXC hosten. Oder habe ich hier eine falsche Annahme?

Klappt denn das Pairing der Geräte über die HomeAssistant App bei dir so? Oder musst du das anders lösen?

Was genau bezweckst du mit der Matterbridge? Die hatte ich jetzt so verstanden, dass sie nicht-Mattergeräte über Matter bekannt machen kann?

Hi,
die Matterbridge ist ein ein eigenständiges Programm, dass die HA-Geräte/Entitäten “Matter-kompatibel” macht. Du greift mit der Matter-Bridge auf HA zu. Ich habe dies benötigt, da Alexa in einem anderen VLAN ist als HA. Die Matter-Bridge habe ich also im gleichen VLAN wie Alexa installiert. Das Pairing erfolgt über die Matter-Bridge. Einfach den Link lesen.

Ja genau, dann habe ich das richtig verstanden. Aber das brauche ich gar nicht.

Ich möchte von HA aus nichts über Matter bekannt machen, sondern nur Matter-Geräte in HA einbinden und sie trotzdem in dem für sie vorgesehenen IoT-VLAN halten. Das hast du wenn ich das richtig verstanden bei dir ja auch so umgesetzt. Oder hast du deinen Matter-Server direkt in HA laufen und machst nur HA-Entitäten über die Matter-Bridge an andere Matter-Geräte (wie Alexa) bekannt?

Ich glaube wir reden aneinander vorbei. In HA habe ich keine Matter-Garäte. Deshalb die Bridge.
Um aus HA auf Geräte (auch Matter) zugreifen zu können, brauchst Du in HA die entsprechende Integration.

Das habe ich mir auch schon gedacht. Aber trotzdem danke für deine Antworten.

Das ich die Integration benötige ist mir bekannt, aber mit dieser kann ich Matter-over-WiFi Geräte nicht in dem für sie vorgesehenen VLAN betreiben, sondern muss sie im gleichen VLAN wie HA haben. Deswegen möchte ich den Matter-Server auslagern, wie man es bei einer Container-Installation von HA auch machen müsste und diesen in einem anderen VLAN betreiben und HA nur auf diesen zugreifen lassen.