Wer Starlink mit einem UniFi Cloud Gateway und aktiviertem IPv6 betreibt, hat – richtig eingerichtet – das aktuell beste Setup für ein stabiles Smart Home mit Home Assistant und Matter.
Klingt komplex. Ist es auch. Aber der Aufwand lohnt sich – und dieser Artikel erklärt ehrlich, warum.
Was steckt überhaupt hinter dieser Kombination?
Drei Bausteine arbeiten zusammen:
- Starlink im Bypass-Modus = der Satelliten-Internetzugang, der aber kein eigenes Routing mehr macht
- UniFi Cloud Gateway = das intelligente Herz des Netzwerks, das alles steuert und überwacht
- IPv6 = das moderne Internet-Protokoll, das jedem Gerät eine eigene, weltweit eindeutige Adresse gibt
Zusammen ergibt das ein Setup, das speziell für Smart-Home-Umgebungen wie Home Assistant und Matter-Geräte große Vorteile bringt – aber auch klare Grenzen hat.
Warum Starlink im Bypass-Modus? – Der erste wichtige Schritt
Starlink liefert von Haus aus einen eigenen Router mit. Wer den einfach so betreibt und noch ein UniFi Gateway dahinter hängt, hat sofort ein Problem: doppeltes NAT.
Stell dir vor, du musst zweimal durch eine Passkontrolle, um aus dem Land zu kommen – obwohl eine reichen würde. Genau das passiert mit dem Datentransfer: Jedes Paket wird zweimal übersetzt, zweimal verwaltet, zweimal gebremst.
Die Lösung: Starlink in den Bypass-Modus schalten.
Danach macht der Starlink-Router nichts mehr außer die Satellitenschüssel zu betreiben und das Signal weiterzugeben. Das UniFi Cloud Gateway übernimmt ab da alles: Routing, Firewall, VPN, VLANs, DHCP – alles.
⚠️ Wichtig: Nach dem Aktivieren des Bypass-Modus ist die Starlink-App für Netzwerkkonfiguration nicht mehr nutzbar. Änderungen sind dann nur noch per Reset möglich. Vorher also alles prüfen.
Warum IPv6? – Das unterschätzte Herzstück
Das ist der Punkt, den die meisten unterschätzen – oder gar nicht kennen.
Das Problem mit Starlink und IPv4
Starlink arbeitet standardmäßig mit CGNAT – also Carrier-Grade NAT.
Einfach erklärt: Du bekommst keine eigene, öffentliche IPv4-Adresse. Stattdessen teilst du dir eine Adresse mit Dutzenden anderer Starlink-Kunden. Das bedeutet konkret:
- Kein direkter Zugriff von außen auf dein Netzwerk
- Kein klassisches Port-Forwarding
- Eingehende Verbindungen sind nicht möglich
Für normale Internetnutzung ist das egal. Für ein Smart Home mit Home Assistant und Matter ist es ein echtes Problem.
IPv6 löst das elegant
Starlink liefert aber sehr wohl native IPv6 – und das ist eine echte öffentliche Adresse, direkt für jedes Gerät im Netzwerk.
Das bedeutet:
- Jedes Gerät im Netzwerk hat eine eigene, weltweit eindeutige Adresse
- Kein NAT, kein doppeltes Übersetzen, kein Umweg
- Home Assistant ist direkt erreichbar – ohne VPN-Tricks, ohne Portweiterleitungen
- Matter-Geräte können sich direkt und sauber miteinander verbinden
Das UniFi Cloud Gateway – besonders der UCG Max – verteilt diese IPv6-Adressen automatisch an alle Geräte im Netzwerk, wenn man es richtig konfiguriert.
Warum ist das so gut für Home Assistant?
Home Assistant lebt davon, dass Geräte sich im Netzwerk finden und miteinander reden können. Das klingt simpel, ist in der Praxis aber eine häufige Fehlerquelle.
Was mit diesem Setup funktioniert
- Home Assistant ist über IPv6 direkt von außen erreichbar – ohne Nabu Casa Cloud, ohne VPN-Gedöns
- Geräte im lokalen Netzwerk kommunizieren über eindeutige Adressen statt über umständliche Multicast-Tricks
- Integrationen bleiben stabil, auch wenn sich lokale IPv4-Adressen ändern
- Remote-Zugriff funktioniert zuverlässig – gerade auf der Finca, wenn man gerade unterwegs ist
Was trotzdem nicht perfekt ist
- Starlinks IPv6-Präfix wechselt gelegentlich – das heißt, die Adresse deines Home-Assistant-Servers kann sich ändern. Wer direkten Zugriff über eine feste Adresse braucht, muss das mit einem dynamischen DNS-Dienst absichern.
- IPv6 ist in der UniFi-Konfiguration nicht mit einem Klick fertig – es braucht ein paar gezielte Einstellungen. Wer das zum ersten Mal macht, wird einige Stunden damit verbringen.
- Ältere Smart-Home-Geräte sprechen manchmal nur IPv4. Die müssen im lokalen Netzwerk bleiben und werden nicht vom IPv6-Vorteil profitieren.
Warum ist das so gut für Matter?
Matter ist der neue, herstellerübergreifende Smart-Home-Standard – und er wurde von Grund auf mit IPv6 entworfen.
Matter braucht IPv6. Kein IPv6, kein Matter. So einfach ist das.
Wer Matter-Geräte (Steckdosen, Lampen, Sensoren, Rauchmelder) betreibt, muss IPv6 im Netzwerk aktiv haben. Und genau das liefert dieses Setup:
- Das UniFi Cloud Gateway verteilt IPv6 zuverlässig im gesamten Netzwerk
- Matter-Controller (z.B. Apple HomePod, Home Assistant als Matter-Controller) finden sich und ihre Geräte sauber
- Thread-Geräte – die über Matter mit einem Thread-Bordernetz kommunizieren – funktionieren besonders stabil in sauber getrennten VLANs mit IPv6
Die ehrliche Nachteils-Liste – ohne Schönfärberei
Es wäre nicht ehrlich, nur die Vorteile zu nennen.
Was dieses Setup nicht kann
- Keine feste öffentliche IPv4. Wer einen Dienst mit klassischer Portweiterleitung nach außen erreichbar machen will (z.B. eine eigene VPN-Gegenstelle, einen Webserver), hat durch CGNAT ein echtes Problem. Lösung: WireGuard-VPN über einen Cloud-Server.
- Latenz ist höher als Glasfaser. Starlink hat typischerweise 20–60 ms Latenz. Das ist für Smart Home und Matter kein Problem. Für zeitkritische Anwendungen oder professionelles Gaming hingegen schon.
- Wetterbeeinflussung. Starke Gewitter, dichter Schnee oder falsch positionierte Schüsseln können den Empfang kurzfristig stören. Smart-Home-Automatisierungen, die auf eine aktive Internetverbindung angewiesen sind, müssen das berücksichtigen.
- IPv6-Konfiguration ist nicht trivial. UniFi muss richtig eingestellt werden: Präfix-Delegation, Router Advertisements, DHCPv6 – wer das nicht kennt, ist schnell in einer Zwickmühle. Falsch konfiguriertes IPv6 ist manchmal schlimmer als gar kein IPv6.
- Starlink-App verliert Funktion. Im Bypass-Modus kann man die Starlink-App zwar noch für Statistiken nutzen, aber keine Netzwerkeinstellungen mehr ändern. Wer das Komfort-Dashboard der Starlink-App liebt, muss sich daran gewöhnen.
Was brauche ich konkret?
Für dieses Setup benötigst du:
- Starlink-Anschluss (Residential oder Priority)
- UniFi Cloud Gateway Ultra oder UCG Max (empfohlen wegen IPv6-Stabilität und ausreichend Leistung)
- UniFi Switches und Access Points für das interne Netzwerk (optional, aber empfohlen)
- Etwas Zeit und Geduld für die Erstkonfiguration
Der UCG Max ist in diesem Setup die erste Wahl, weil er nativ IPv6, vollständiges Routing, Firewall und VPN in einem kompakten Gerät vereint – und für Home Assistant-Umgebungen mit vielen Geräten ausreichend dimensioniert ist.
Fazit für Laien: Lohnt sich der Aufwand?
Ja – wenn man ein ernsthaftes Smart Home betreibt.
Wer nur ab und zu eine Lampe per App schaltet, braucht das nicht. Wer aber Home Assistant, Matter, Thread, VPN und eine stabile Heimautomatisierung betreiben will – gerade auf einer Finca oder einem Grundstück ohne Glasfaser – kommt mit dieser Kombination besser ans Ziel als mit jeder anderen Lösung.
Der Grund ist einfach: Starlink liefert IPv6 nativ, das UniFi Gateway verwaltet es sauber, und Home Assistant sowie Matter nutzen genau das.
Wer das nicht selbst einrichten möchte: Das ist einer unserer Schwerpunkte. → Kontakt aufnehmen
Für Profis: Technische Details
IPv6-Konfiguration am UCG Max
- WAN-Seite: DHCPv6 Prefix Delegation aktivieren, Präfix-Größe
/56oder/60(Starlink vergibt typischerweise ein/56) - LAN-Seite: Stateless Address Autoconfiguration (SLAAC) + DHCPv6 Stateless für Router Advertisements
- Firewall: IPv6-Firewall-Regeln separat konfigurieren – UniFi übernimmt die IPv4-Regeln nicht automatisch für IPv6. Das ist ein häufiger Fehler, der Geräte ungewollt direkt aus dem Internet erreichbar macht.
- DNS: Sicherstellen, dass der UCG Max auch AAAA-Records (IPv6-DNS) auflöst und an die Clients weitergibt
Home Assistant und IPv6
- Home Assistant unterstützt IPv6 vollständig ab Version 2023.x
- Wer HA über einen Reverse Proxy (z.B. NGINX Proxy Manager) exponiert, muss den Proxy ebenfalls auf IPv6 konfigurieren (
listen [::]:443) - Für stabile externe Erreichbarkeit trotz wechselndem IPv6-Präfix empfiehlt sich ein DynDNS-Dienst mit IPv6-Unterstützung, z.B.
deSEC.iooderCloudflaremit API-gesteuertem Record-Update direkt aus Home Assistant via Automation
Matter und Thread über IPv6
- Matter-over-Thread benötigt zwingend einen Thread Border Router mit IPv6-Konnektivität. Apple HomePod mini (2. Gen), Apple TV 4K (3. Gen) oder der Home Assistant SkyConnect/Yellow fungieren als Border Router.
- Das Thread-Netz operiert im ULA-Adressraum (
fd::/8), wird aber über den Border Router mit dem globalen IPv6 des LANs verknüpft - Im UniFi-Setup: IoT-VLAN mit eigenem IPv6-Präfix + korrekte Firewall-Regeln, die Thread-Border-Router-Kommunikation zwischen VLANs gezielt erlauben
- Matter-Commissioning läuft über Bluetooth Low Energy, der weitere Betrieb über Wi-Fi oder Thread – beides funktioniert im UCG-Max-Setup problemlos, solange mDNS-Reflexion zwischen VLANs korrekt aktiviert ist
CGNAT und WireGuard als Ausweg
- Für eingehende Verbindungen trotz CGNAT: WireGuard-Tunnel zu einem VPS (Virtual Private Server) mit fester IPv4, z.B. Hetzner CX11
- UniFi UCG Max unterstützt WireGuard nativ – Site-to-Site-Konfiguration über die UniFi-Oberfläche möglich
- Alternativ: Cloudflare Tunnel (cloudflared) direkt auf dem Home-Assistant-Host – kein offener Port notwendig, läuft über IPv4 und IPv6
Sicherheit: IPv6-Firewall nicht vergessen
Das ist der kritischste Punkt. Viele Admins konfigurieren eine saubere IPv4-Firewall und denken, sie sind fertig. IPv6-Adressen sind aber direkt routebar – ohne NAT als implizite Barriere. Standardregel im UCG Max für IPv6:
- Eingehend WAN → LAN: alles blockieren, nur established/related erlauben
- Ausgehend LAN → WAN: alles erlauben
- ICMPv6: gezielt erlauben (Typ 133–136 für Neighbor Discovery, Typ 128/129 für Ping)
Wer das nicht setzt, hat unter Umständen alle Home-Assistant-Ports direkt aus dem Internet erreichbar – ohne es zu wissen.
