Home 🌐 Netzwerk Junos OS Updates im Homelab: Dein Guide zur Netzwerksicherheit
🌐 Netzwerk

Junos OS Updates im Homelab: Dein Guide zur Netzwerksicherheit

✍️ rss-bot 📅 10. April 2026 🔄 Aktualisiert: 10.04.2026
Junos OS Updates im Homelab: Dein Guide zur Netzwerksicherheit
⚠️ Hinweis: Alle Guides auf smoth.me dienen ausschließlich zu Informations- und Lernzwecken. Die Umsetzung erfolgt auf eigene Gefahr. Wir übernehmen keine Haftung für Schäden, Datenverluste oder Systemausfälle, die durch die Anwendung dieser Anleitungen entstehen können. → Vollständiger Haftungsausschluss

Einleitung: Warum Junos OS Updates im Homelab so wichtig sind

Moin, liebe smoth.me Community! Als jemand, der seit Jahren seine Finger in Proxmox, Docker und diversen Netzwerkkomponenten hat, weiß ich aus eigener Erfahrung: Sicherheit ist kein Luxus, auch nicht im Heimlabor. Gerade erst hat die Meldung die Runde gemacht, dass Juniper wieder einmal kritische Sicherheitslücken in Junos OS geschlossen hat. Das ist keine Überraschung, denn Software hat nun mal Fehler, und Angreifer sind immer auf der Suche nach Einfallstoren.

Für uns Heimlaboranten, die oft auch exponierte Dienste betreiben oder zumindest interne Netzwerke schützen wollen, ist das ein klares Signal: Updates sind Pflicht. Ich habe selbst schon erlebt, wie schnell ein ungesichertes Gerät zum Sprungbrett für weitere Angriffe werden kann, selbst wenn es "nur" im Homelab steht. Deswegen zeige ich dir heute, wie du deine Juniper-Geräte im Homelab auf dem neuesten Stand hältst. Das ist keine Raketenwissenschaft, aber es gibt ein paar Dinge, die man beachten sollte, damit es reibungslos läuft. Denk dran: Ein sicheres Netzwerk beginnt bei den Grundlagen, und dazu gehört definitiv ein aktuelles Betriebssystem auf deinen Routern und Switches.

Voraussetzungen für ein reibungsloses Update

Bevor wir uns ins Getümmel stürzen, lass uns kurz checken, ob alles bereit ist. In meiner Erfahrung ist eine gute Vorbereitung die halbe Miete. Wer hier schlampt, ärgert sich später.

Hardware und Software

  • Ein Juniper Gerät: Logisch, oder? Egal ob SRX, EX, QFX – der Prozess ist im Kern ähnlich. Ich gehe hier von einem Gerät aus, das bereits mit Junos OS läuft.
  • Managementzugang: Du brauchst SSH-Zugang oder idealerweise direkten Konsolenzugang zum Gerät. Letzteres ist mein absoluter Tipp, falls mal was schiefläuft und das Netzwerk nicht mehr erreichbar ist. Ein serielles Kabel und ein Terminalprogramm (wie PuTTY oder Screen) sind Gold wert.
  • Netzwerkzugang für Download: Dein Juniper-Gerät muss in der Lage sein, die Firmware-Datei von einem internen Server (SCP, FTP) oder direkt aus dem Internet (falls konfiguriert und erlaubt) herunterzuladen. Alternativ kannst du die Datei auch manuell übertragen.
  • Juniper Support Portal Account: Um die offizielle Firmware herunterzuladen, benötigst du einen aktiven Account auf der Juniper Website und idealerweise einen Support-Vertrag, der dir den Zugriff auf die neuesten Images ermöglicht. Ohne den kommst du oft nicht an die aktuellen Versionen.

Vorbereitung ist die halbe Miete

Ganz wichtig: Mach dir einen Plan! Ich habe schon zu oft gesehen, wie Leute Updates einfach "mal eben" gemacht haben und dann im schlimmsten Fall ohne funktionierendes Netzwerk dastanden.

  • Backup-Strategie: Bevor du *irgendetwas* am System änderst, mach ein Backup der aktuellen Konfiguration. Das ist dein Rettungsanker! Ich sichere die Konfiguration immer in mindestens zwei Formaten: als "set"-Befehle und als XML-Struktur. Zusätzlich speichere ich es extern.
  • Firmware herunterladen: Geh auf das Juniper Support Portal und lade die passende Firmware-Version für dein spezifisches Gerät herunter. Achte genau auf die Modellnummer und die Version (z.B. `23.4R1.8`). Lies die Release Notes! Dort stehen oft wichtige Hinweise zu Inkompatibilitäten oder benötigten Zwischenschritten.
  • Wartungsfenster planen: Auch wenn es nur dein Homelab ist, überleg dir, wann der beste Zeitpunkt für einen Neustart ist. Wenn deine Familie gerade Netflix streamt oder du selbst wichtige Arbeiten machst, ist das vielleicht nicht der ideale Moment.
  • Kompatibilität prüfen: Ein Blick in die Release Notes ist unerlässlich. Manchmal gibt es spezielle Upgrade-Pfade oder Inkompatibilitäten mit alten Konfigurationen, die man kennen sollte.

Schritt-für-Schritt: Junos OS im Homelab aktualisieren

Okay, genug der Vorrede. Jetzt geht's ans Eingemachte. Ich führe dich durch den Prozess, so wie ich ihn bei mir im Homelab durchführe.

Schritt 1: Aktuellen Status prüfen

Bevor wir etwas ändern, verschaffen wir uns einen Überblick. Welche Version läuft gerade? Gibt es irgendwelche Alarme? Das ist wichtig, um einen Baseline-Zustand zu haben und später zu vergleichen.


admin@my-juniper-srx> show version
Hostname: my-juniper-srx
Model: srx300
Junos: 20.4R3.10
JUNOS OS Kernel 64-bit [20201026.f01d4a8_build_f]
JUNOS OS Root Filesystem [20201026.f01d4a8_build_f]
... (weitere Details)

admin@my-juniper-srx> show system alarms
No alarms currently active

Notiere dir die aktuelle Junos-Version. Wenn Alarme aktiv sind, solltest du diesen zuerst auf den Grund gehen, bevor du ein Update startest. Ein stabiles Ausgangssystem ist entscheidend.

Schritt 2: Backup der Konfiguration

Das kann ich nicht oft genug betonen: Ein Backup ist Pflicht! Ich speichere die Konfiguration gerne im "set"-Format, da sich diese Befehle direkt wieder einfügen lassen, wenn man mal schnell etwas wiederherstellen muss oder ein Gerät neu aufsetzen möchte.


admin@my-juniper-srx> show configuration | display set | save /var/tmp/my_config_backup_20_4R3_10.conf
Wrote 243 lines to /var/tmp/my_config_backup_20_4R3_10.conf

admin@my-juniper-srx> file show /var/tmp/my_config_backup_20_4R3_10.conf
# Last changed: 2023-10-27 10:30:00 UTC
set system host-name my-juniper-srx
set system root-authentication encrypted-password "$9$..."
... (deine Konfiguration)

Zusätzlich kopiere ich diese Datei immer noch auf meinen Management-Host. Das geht klassisch per SCP:


# Auf deinem Linux-Management-Host ausführen
scp admin@192.168.1.1:/var/tmp/my_config_backup_20_4R3_10.conf ~/juniper_backups/

So bist du auf der sicheren Seite, selbst wenn das Gerät nicht mehr bootet oder das interne Dateisystem beschädigt wird.

Schritt 3: Firmware herunterladen und auf das Gerät übertragen

Du hast die Firmware von Juniper heruntergeladen (z.B. `junos-srxsme-23.4R1.8-domestic.tgz`). Jetzt muss sie auf das Gerät. Der einfachste Weg ist oft SCP:


# Auf deinem Linux-Management-Host ausführen
scp junos-srxsme-23.4R1.8-domestic.tgz admin@192.168.1.1:/var/tmp/

Gib dein Admin-Passwort ein, und die Datei wird auf das Juniper-Gerät in das Verzeichnis `/var/tmp/` kopiert. Dieses Verzeichnis ist für temporäre Dateien gedacht und hat in der Regel genug Platz. Überprüfe nach dem Kopiervorgang, ob die Datei auch wirklich angekommen ist und die Größe stimmt:


admin@my-juniper-srx> file list /var/tmp/
/var/tmp/:
drwxr-xr-x  2 root  wheel        512 Oct 27 10:30 .
drwxr-xr-x 15 root  wheel        512 Oct 27 10:25 ..
-rw-r--r--  1 admin wheel   250000000 Oct 27 10:45 junos-srxsme-23.4R1.8-domestic.tgz
-rw-r--r--  1 admin wheel       243 Oct 27 10:30 my_config_backup_20_4R3_10.conf

Prüfe die Dateigröße (hier beispielhaft 250MB) und den Dateinamen, um sicherzustellen, dass alles korrekt ist.

Schritt 4: Das Update installieren

Jetzt kommt der spannende Teil: die Installation. Der Befehl `request system software add` ist dein Freund. Ich empfehle dringend, die Option `validate` zu verwenden, da sie vorab prüft, ob die neue Software mit der aktuellen Konfiguration kompatibel ist. Das kann dir eine Menge Ärger ersparen.


admin@my-juniper-srx> request system software add /var/tmp/junos-srxsme-23.4R1.8-domestic.tgz validate

Dieser Schritt kann eine Weile dauern, da das System das Image entpackt und auf Kompatibilität prüft. Wenn die Validierung erfolgreich war, kannst du den eigentlichen Installationsprozess starten. Ich hänge immer `reboot` an den Befehl an, damit das System nach erfolgreicher Installation direkt neu startet.


admin@my-juniper-srx> request system software add /var/tmp/junos-srxsme-23.4R1.8-domestic.tgz reboot

Das System wird nun die neue Firmware installieren und anschließend neu starten. Während des Neustarts wirst du die Verbindung verlieren. Das ist normal. Warte ein paar Minuten, bis das Gerät wieder hochgefahren ist.

Schritt 5: Nach dem Neustart: Verifikation

Nachdem das Gerät wieder online ist, ist es Zeit für die Verifikation. Logge dich wieder ein (idealerweise über die Konsole oder SSH, je nachdem, was funktioniert) und prüfe, ob die neue Junos-Version aktiv ist und das System fehlerfrei läuft.


admin@my-juniper-srx> show version
Hostname: my-juniper-srx
Model: srx300
Junos: 23.4R1.8
JUNOS OS Kernel 64-bit [20230915.d01e4a8_build_f]
JUNOS OS Root Filesystem [20230915.d01e4a8_build_f]
... (weitere Details)

admin@my-juniper-srx> show system uptime
Current time: 2023-10-27 11:15:00 UTC
System booted: 2023-10-27 11:05:00 UTC (10 minutes ago)
...

admin@my-juniper-srx> show log messages | match "error|warning"

Prüfe, ob die `show version` nun die neue Firmware anzeigt. Ein Blick auf `show system uptime` zeigt dir, wann das System zuletzt gestartet wurde – das sollte mit deinem Updatezeitpunkt übereinstimmen. Ganz wichtig ist auch ein Blick in die Logs. Mit `show log messages | match "error|warning"` kannst du schnell nach Auffälligkeiten suchen, die nach dem Update aufgetreten sein könnten. Überprüfe auch die Konnektivität zu deinen anderen Geräten und Diensten. Alles, was vorher lief, sollte auch jetzt wieder funktionieren.

Häufige Fehler und meine Lösungen

Selbst mit der besten Vorbereitung kann mal etwas schiefgehen. Hier sind ein paar typische Probleme, über die ich oder Kollegen schon gestolpert sind, und wie man sie behebt.

Problem 1: SSH-Verbindung nach Update nicht möglich

Ursache: Manchmal wird durch das Update eine Standardkonfiguration wiederhergestellt, die SSH-Zugriff nur von bestimmten Subnetzen erlaubt, oder der SSH-Dienst startet aus einem anderen Grund nicht korrekt. Auch eine Firewall-Regel kann plötzlich greifen, die vorher nicht aktiv war.

Lösung: Dein erster Schritt sollte immer der Konsolenzugang sein. Wenn du den hast, bist du gerettet. Prüfe den Status des SSH-Dienstes:


admin@my-juniper-srx> show system services ssh

Wenn er nicht läuft, oder du keine Ausgabe bekommst, versuche, ihn neu zu starten oder die Konfiguration zu überprüfen. Eventuell musst du die `system services ssh` Konfiguration anpassen. Prüfe auch deine Firewall-Regeln (Security Policies auf SRX-Geräten):


admin@my-juniper-srx> show security policies

Stelle sicher, dass es eine Regel gibt, die SSH-Verkehr zu deinem Management-Interface erlaubt. In seltenen Fällen kann es auch an der SSH-Host-Key-Generierung liegen; ein `request system regenerate ssh-host-keys` kann hier helfen (Achtung: Du musst den alten Key auf deinem Client löschen).

Problem 2: Gerät bootet nicht nach Update (Bootloop)

Ursache: Das ist der Albtraum jedes Admins. Oft liegt es an einem korrupten Image, einem falschen Image für das Hardware-Modell oder einem Problem beim Schreibvorgang auf den Flash-Speicher. Manchmal sind die Release Notes hier entscheidend, wenn z.B. ein Zwischen-Update auf eine bestimmte Version nötig gewesen wäre.

Lösung: Auch hier ist der Konsolenzugang dein bester Freund. Juniper-Geräte haben oft eine eingebaute Recovery-Funktionalität. Während des Bootvorgangs kannst du oft eine Taste drücken (oft "Space" oder "Ctrl+C"), um ins Loader-Menü zu gelangen. Von dort aus kannst du verschiedene Optionen wählen, z.B. von einem älteren Image zu booten (falls noch vorhanden) oder eine System-Rollback durchzuführen. Der Befehl `request system software rollback` versucht, auf die vorherige funktionierende Junos-Version zurückzurollen. Das ist oft der erste Versuch, wenn ein Update schiefgeht. Wenn das nicht hilft, musst du eventuell ein Image über USB oder TFTP neu flashen, was aber ein fortgeschritteneres Thema ist.

Problem 3: Fehlende Download-Berechtigung für Firmware

Ursache: Du versuchst, die neueste Junos-Firmware von der Juniper-Website herunterzuladen, aber der Download-Link ist grau oder du erhältst eine Fehlermeldung bezüglich fehlender Berechtigungen. Das liegt fast immer daran, dass dein Juniper-Account nicht mit einem aktiven Support-Vertrag verknüpft ist, der den Zugriff auf die Software-Downloads erlaubt.

Lösung: Überprüfe im Juniper Support Portal, ob dein Account korrekt konfiguriert ist und ob du einen gültigen Support-Vertrag für dein Gerät hast. Die meisten aktuellen Junos-Versionen sind an einen Vertrag gebunden. Wenn du ein älteres Gerät hast oder es nur für das Homelab nutzt und keinen Vertrag abschließen möchtest, musst du dich eventuell mit älteren, öffentlich verfügbaren Versionen behelfen oder in Community-Foren nach Hinweisen suchen, wo ältere Images noch verfügbar sind (hier aber Vorsicht vor inoffiziellen Quellen!). Im Zweifelsfall hilft nur der direkte Kontakt zum Juniper Support oder deinem Vertriebspartner, um die Vertragsdetails zu klären.

Fazit und nächste Schritte

Puh, das war eine Menge Holz, oder? Aber ich hoffe, du hast gemerkt, dass das Aktualisieren deiner Juniper-Geräte im Homelab kein Hexenwerk ist, solange man methodisch vorgeht und ein paar wichtige Punkte beachtet. Die Sicherheit deines Netzwerks hängt maßgeblich davon ab, dass du immer die neuesten Patches einspielst – besonders wenn, wie kürzlich geschehen, kritische Root-Schwachstellen geschlossen werden.

Mein abschließender Tipp: Mach dir eine Checkliste für deine Updates. Das hilft ungemein, nichts zu vergessen. Und scheue dich nicht, die Konsole zu nutzen, wenn SSH mal zickt. Die Konsole ist dein Fallback!

Was sind die nächsten Schritte? Nachdem du deine Junos OS-Installation auf dem neuesten Stand hast, könntest du dich mit weiteren Hardening-Maßnahmen beschäftigen. Denk an Dinge wie:

  • Automatisierung: Mit Tools wie Ansible lassen sich Konfigurations-Backups und sogar Updates automatisieren.
  • Monitoring: Überwache deine Juniper-Geräte mit SNMP oder NetFlow, um Auffälligkeiten frühzeitig zu erkennen.
  • Firewall-Regeln: Überprüfe deine Security Policies regelmäßig und schließe unnötige Ports.
  • Zentrale Protokollierung: Sende deine System-Logs an einen zentralen Syslog-Server, um sie einfacher analysieren zu können.

Bleib neugierig, bleib sicher, und viel Spaß im Heimlabor!

Weitere Guides aus "Netzwerk"

Firewall-Sicherheit: WatchGuard-Lücke patchen & absichern
Lerne, wie du schnell auf Sicherheitslücken in deiner Firewall reagierst. Am Beispiel der WatchGuard…
Dein Heimnetz auf Überholspur: Glasfaser-Speed richtig nutzen
Dieser Praxis-Guide zeigt dir, wie du dein Heimnetzwerk optimierst, um die volle Geschwindigkeit dei…
Dein Heim als KI-Wächter: Anomalien im Netzwerk erkennen
Lerne, wie du ein verteiltes Sensornetzwerk in deinem Heim aufbaust, um ungewöhnliche Aktivitäten un…
AdGuard Home im Docker: Dein DNS-Filter für das Heimnetz
Richte AdGuard Home in einem Docker-Container auf deinem Proxmox-Server ein, um dein gesamtes Heimne…