Zigbee2MQTT network encryption key

[CubeID]

Hi zusammen,

bei mir landen ab un an unbekannte Zigbee-Geräte im Z2M. Bei der Suche bin ich auf folgenden Artikel gestoßen, in dem es heißt, dass im Standard ein bekannter Verschlüsselungskey genutzt wird, sowie empfohlen diesen zu ändern.
https://www.zigbee2mqtt.io/advanced...ork.html#change-zigbee-network-encryption-key
(permit_join: false werden ebenfalls nochmal hinzufügen und testen, vorerst sind die Geräte auf meiner Blocklist gelandet...)

Also habe ich mich mit den Schritten hier auf den Weg gemacht.
https://community.home-assistant.io/t/change-zigbee-secure-network-key-zigbee2mqtt/401477/4
Den network_key aus /homeassistant/zigbee2mqtt/configuration.yaml habe ich mir vorher nochmal kopiert, um zu schauen was sich mit network_key: GENERATE nach dem Starten von Z2M tut.

• Z2M gestoppt
• Backup File gelöscht
• den vorhandenen Key durch GENERATE ersetzt
• Z2M wieder gestartet

--> es steht ein neuer Key drin

Im Gegensatz zur offiziellen Anleitung musste ich meine Geräte nicht neu pairen?! Die PANID habe ich beibehalten.
Unter Z2M > Einstellungen > Erweitert > Network key(string) ist weiterhin kein Key drin... womit sich mir die Fragen stellen:
Ist der Traffic nun verschlüsselt?
War er es vielleicht schon, und der Parameter permit_join ist der Schlüssel?
Ich habe noch eine HA Test-VM mit Z2M, dort ist ein anderer network_key als bei meinem produktiven Z2M hinterlegt, sowohl vor als auch nach dem Neugenerieren, obwohl ich da auch nur eine Standardinstallation von Z2M gemacht und nix aktiv am network_key geändert habe.

Setup:

• HAOS als x86 VM
• Sonoff Dongle E in die VM gemappt
• Z2M und Mosquitto broker als Addon

Danke!

 

[Skaro]

Du mussst pan_id, ext_pan_id und network_key auf GENERATE setzen, damit alles neu generiert wird.

https://www.zigbee2mqtt.io/guide/configuration/zigbee-network.html#permit-join

 

[CubeID]

Den network_key habe ich per GENERATE neu generiert > erster Link
Und permit_join: false habe ich noch hinzugefügt.

Weißt du warum man die pan_id und ext_pan_id auch ändern soll? Beide sind bei mir nicht die Default-Werte.
In der Anleitung von Z2M steht das nicht, auch nicht dass man Geräte re-pairen muss. Das ist nur in dem Post im HA Forum genannt, kA warum?

 

[Skaro]

Die PAN_ID ist in etwa wie die WLAN SSID, also der Name des Netzwerkes. Sicherheitshalber würde ich die sowie den network_key (das Passwort) neu generiert.

Falls bei dir noch permit join erlaubt war, schätze ich einfach mal, dass die Geräte sich automatisch wieder neu gepaired haben?


Der network key ist bei mir im Web Ui auch leer, schätze mal das ist ein Bug. In der YAML hat er das GENERATED korrekt zu einer random array gemacht und beim startup sieht man im Log auch, dass dort was steht ("networkKey":"HIDDEN")

 

[CubeID]

Permit war nicht definiert, scheint so default zu sein. Ich hatte ahrscheinlich mal wieder ein Gerät aufgenommen und der Schwung unbekannte Geräte kam mit... die spamen hier heftig rum, echt nervig, pairen neuer Geräte funktioniert durch die ganzen Reject-Meldungen richtig schlechter?! 😤

Mal schauen wann ich die PAN_ID und EXT_PAN_ID nochmal ändere, 80+ Gerät re-pairen braucht doch etwas Zeit ^^