SMB over QUIC в Windows 11/Server 2022–2025: безопасный доступ к файлам через интернет без VPN (2025)

SMB over QUIC — это обычные сетевые папки, но поверх протокола QUIC (UDP 443) с обязательным шифрованием TLS 1.3 и проверкой сертификата. Плюсы — работает через NAT и строгие фаерволы, не нужен VPN, современная криптозащита. Ниже — полный сценарий: от сертификата до проверки событий.

Коротко: что потребуется

  • Windows Server 2022/2025 с ролью Файловые службы и поддержкой SMB over QUIC.
  • Сертификат для имени сервера (например, files.example.ru) — публичный или выданный собственной PKI.
  • Открытый на сервере порт 443/UDP (и, как правило, 443/TCP для QUIC/TLS рукопожатий).
  • Клиент Windows 11 (22H2+) с обновлениями.
Нужна помощь? Подберу сертификат, настрою роль, правила фаервола и проверю, что клиент подключается по QUIC, а не падает на TCP/445.

1) Сертификат и имя сервера

  1. Получите сертификат на FQDN сервера (ПУН: CN=files.example.ru). Распространите корневой сертификат (если своя CA) на клиент.
  2. Привяжите сертификат к SMB over QUIC в диспетчере серверов или PowerShell.

PowerShell (Администратор на сервере) — выполнять по одной строке:

# Посмотреть сертификаты в LocalMachine\My
Get-ChildItem Cert:\LocalMachine\My | Select-Object Subject, Thumbprint, NotAfter
# Привязка сертификата по отпечатку
Set-SmbServerConfiguration -EnableSMBQUIC $true
Set-SmbServerCertificate -Thumbprint ABCDEF1234567890ABCDEF1234567890ABCDEF12

2) Фаервол и публикация

  • Откройте на сервере 443/UDP (и 443/TCP при необходимости) во встроенном фаерволе.
  • Если сервер за NAT — настройте проброс порта 443/UDP на него.

PowerShell (Администратор на сервере) — команды по одной строке:

New-NetFirewallRule -DisplayName "SMB over QUIC (UDP 443)" -Direction Inbound -Protocol UDP -LocalPort 443 -Action Allow
New-NetFirewallRule -DisplayName "SMB over QUIC (TCP 443)" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

3) Общие папки и политики

  1. Создайте или используйте существующую SMB-папку. Права на уровне NTFS и «Общий доступ» настроены как обычно.
  2. При необходимости включите «Только по QUIC», чтобы исключить TCP/445 из интернета.

PowerShell (Сервер) — выполнять по одной строке:

New-SmbShare -Name Public -Path D:\Shares\Public -FullAccess "DOMAIN\FileAdmins" -ChangeAccess "DOMAIN\Users"
# Разрешаем QUIC для всего сервера:
Set-SmbServerConfiguration -EnableSMBQUIC $true

4) Клиент: как подключаться именно по QUIC

В проводнике используйте UNC с именем из сертификата: \\files.example.ru\Public. Если видите запрос на доверие — убедитесь, что клиент доверяет выдавшей CA.

PowerShell (Клиент) — выполнять по одной строке:

# Активные подключения и протокол
Get-SmbConnection | Select-Object ServerName, ShareName, Dialect, Signed, Encrypted, NumOpens
# События QUIC
Get-WinEvent -LogName "Microsoft-Windows-SMBClient/Connectivity" -Max 100 | Select-Object TimeCreated, Id, LevelDisplayName, Message

Если подключение падает на TCP/445 — проверьте 443/UDP, имя и сертификат.

5) Диагностика типичных ошибок

  • CERT_E_UNTRUSTEDROOT — клиент не доверяет корневому сертификату. Установите корень в «Доверенные корневые центры».
  • Имя в сертификате не совпадает — подключайтесь по FQDN, указанному в сертификате (или добавьте SAN).
  • Пакеты не доходят — проверьте проброс 443/UDP и фаервол.

6) Безопасность и лучшие практики

  • Используйте современные наборы шифров, регулярно меняйте сертификаты.
  • Ограничьте доступ списками IP на периметре, включите аудит на папках.
  • Для внешнего доступа предпочтительнее «Только QUIC» вместо публикации TCP/445.

FAQ

QUIC заменяет VPN?

Для доступа к файлам — да, часто VPN уже не нужен. Но для других сервисов VPN может оставаться.

Нужен ли публичный сертификат?

Желателен. Можно и корпоративный, но клиент должен доверять корневому центру.

Работает ли Multichannel поверх QUIC?

Нет, это разные механизмы. QUIC решает доступ через интернет и шифрование, Multichannel — скорость в ЛАН.

Читайте также: