Пошаговая инструкция установки MTProto прокси через Service Node + VLESS

[dTi]

Всё это, конечно, хорошо, но чистых IP адресов остаётся всё меньше, а старые весело попадают в ЧС. Так что это решение ненадолго. На прошлой неделе потерял 2 3X-UI сервера. Стали почти одновременно недоступны и по WEB, и по SSH, хотя через панель хостера VNC запускается. На каком-то провайдере работает, на подавляющем большинстве - нет. Переезд на других хостеров/локации не панацея. У кого-то сразу после распаковки 3X-UI не открывается, пробую 3-4 исходящих провайдера - тишина.

[sergey_eryashev]

Понимаю. Сам пока готовил эту статью, за неделю ушло в ЧС по IP штук 10)

[TheMrWhite]

сколько человек пользуется вашими серверами? хочу понять по каким критериям отлетают адреса. у меня на впске стоит WG уже несколько лет, пока никаких проблем, пользуются 2 человека

[sergey_eryashev]

У меня была блокировка скорее всего из-за различных тестов. Прокси обычно отлетали в ЧС, когда активных юзеров 500+ человек.

[Richard2111]

Доброго здравия. Вылезают ошибки, не могу понять в чем проблема. Подскажите пожалуйста, куда копать.

WARN[0000] The “ADMIN_USERNAME” variable is not set. Defaulting to a blank string. WARN[0000] The “ADMIN_PASSWORD” variable is not set. Defaulting to a blank string. WARN[0000] The “JWT_SECRET” variable is not set. Defaulting to a blank string. WARN[0000] /opt/mtproto-panel/docker-compose.yml: the attribute version is obsolete, it will be ignored, please remove it to avoid potential confusion

[sergey_eryashev]

Попробуйте сделать, как описано тут https://github.com/danielVNru/mtproto-panel/issues/14#issuecomment-4296448430

[Kenya-West]

Вы лучше напишите, какой у вас подробный сетап? Потому что на XRay/VLESS/XTLS-Reality/TCP/self-steal и XRay/VLESS/XTLS-Reality/xHTTP/self-steal всё работает, каскад это или нет.

[dTi]

Да сетап стандартный. VPS с 3X-UI, инбаунды VLESS-Reality.
Имел несколько серверов у разных хостеров в разных локациях. Часть отвалилась на МТСе. Причём целиком, ни SSH, ни WEB. Отключаю Wi-Fi, через 4G всё открывается. Пробовал других проводных провайдеров (и РТ, и местных) - та же песня, серверы недоступны.
Покупаю новые VPS, ставлю 3X-UI, даже WEB морда без ssh -L не открывается. Из 4 новых VPSов заработал только один. Остальные адреса/подсети видимо уже жахнули. Либо провы очень агрессивно сжимает белые списки.

[Kenya-West]

Самое главное не сказали - какой у вас транспорт и настроен ли self-steal.

А то вдруг там у вас был dest на max.ru условный или yahoo.com - ну, тут понятно, почему заблокировали...

Потому что селфстил сейчас чувствует себя лучше всего. А если ещё и транспорт gRPC или xHTTP (последний не все ядра поддерживают), то вообще хорошо.

[VenbergV]

3x-ui похоже детектят по стартовой странице очень многие "поставщики связи". Сразу при открытии панели, хост улетает в бан. Потеряно несколько VPS, работавших длительное время.

[pavia]

А как можно детектить стартовую, если конечно вы не открыветете её по http ?

[Kenya-West]

curl -v http://localhost:54321 | grep -qi "x-ui"

На гипервизлрах типа KVM явно есть возможность "просто зайти" в виртуалки почти бесшумно и выполнить эту команду. Вернёт true - блок автоматом... не знаю, в хостерских делах не шарю.

[Inflame]

Цензору (ТСПУ и провайдерским DPI) эта информация недоступна.

[dTi]

Как объяснить, что упавшие 3x-UI перестали сначала открываться даже WEB интерфейсом? Выглядит всё действительно так, будто не отдаётся именно эта страница.
Ради экспериментов просто поднимаю HTTPD - заглушка открывается. Ставлю 3X-UI с портом и path - всё, до свидания.

[Inflame]

с портом и path

То есть, без TLS шифрования?

[Inflame]

Если включить TLS, поменять порт и прописать секретный путь, то никто ничего не сможет задетектить.

[VenbergV]

И главное никогда не заходить на страницу авторизации вне туннеля! Иначе активный пробинг страницы у "особо рьяных" поставщиков связи отправляет ip хоста в бан.

P.S. "Ретивость" некоторых поставщиков связи докатилась до невозможности скачать deb пакет openvpn с официального репозитория. Скачать можно, все кроме самого deb.

[MasyGreen]

Веб морду через ssh надо заворачивать и через туннель входить - она почти везде блокируется сейчас

[AlekseyPraskovin]

А с IPv6 панель работать умеет?

[sergey_eryashev]

Не проверял этот кейс, не могу точно сказать. Можно думаю в доке изучить, ссылки на гит прикрепил в статье

[Dobr]

А так, чисто теоретически, если вдруг есть сервер в РФ, и с него доступен ТГ, но прокси до него сразу гасятся. Хотя тот же WG летает без единого сбоя. Что это за странное поведение?

[sergey_eryashev]

Я думаю дело в провайдере вашего инета.

[Dobr]

Точно нет, перепробовал 6 разных провайдеров, 2 LTE, 2 крупных проводных и 2 местных. Разница лишь в том, через какое время перестает отвечать прокся

[sergey_eryashev]

Сервер случайно не в ВК или Я,Клауде?

[Dobr]

Нет, не там. А подробнее где он - не могу сказать) Молчание - золото)

[sergey_eryashev]

Честно, не могу точно сказать, причину. Сейчас одна прокся может у доброй тысячи работать, а у другой в глухую не доступна(

[Bobr-Kurwa]

А что мешает просто запускать Телеграм через Тор? Или он у вас не работает?

Вариант с двумя серверами выглядит избыточно сложным, а для рядового пользователя -вообще запредельным. Хотя как вариант на чёрный день рассматривать можно.

[sergey_eryashev]

Я еще не пробовал этот кейс.

[Bobr-Kurwa]

На компе вообще одно удовольствие. Когда Тор Браузер запущен, он поднимает SOCKS-прокси на 127.0.0.1:9151. Дальше эта прокси добавляется в Телеграм, и всё работает почти как раньше. Главное, браузер не закрывать.

Сразу два преимущества: 1) это доступно не-айтишникам по инструкции, 2) Тор Браузер сам по себе полезен в качестве резервного канала доступа в интернет.

[sergey_eryashev]

Да, на компе - удовольствие, а как быть всем тем, кто использует и мобильные устройства? Этот кейс использования думаю будет очень узким

[anephew]

Orbot, так же активируется режим SOCKS5 через настройки

[Cruz_Castillo]

У Orbot есть нюанс: если не выбрать хотя бы одно приложение, которое использует туннель Orbot, то в туннель будет заворачиваться всё. Поэтому, если для tg использовать SOCKS5 (127.0.0.1:9050), то минимум одно приложение нужно выбрать, например, wa.

[Beltran]

На андроиде есть Invizible. Нормально заворачивает трафик в разбивке приложений в tor сеть. Мосты только рабочие найти надо.

[omichkun]

У меня при работе с мобильного оператора (когда например с телефона раздаю интернет) тор-трафик режется в нулину и способ с локальной SOCKS-проксей не работает. Билайн.
А вот с домашнего проводного интернета так и пользуюсь потому что кто-то так и не удосужился обновить нативный клиент телеги для макоси и внести правки от комьюнити

[Zachelovek]

Когда Тор Браузер запущен, он поднимает SOCKS-прокси

А вы не в курсе, можно ли в виндоус этот прокси поднять каким-то более легковесным софтом, без запуска аж целого браузера?

Хотя в целом я бы рассматривал выход через тор в качестве одной из крайних мер.
Судя по тому, что пишут в сети зарубежные прайваси-активисты, многие сервисы, увидев айпи тора, начинают орать "O, kurwa!" и в лучшем случае относятся с большим подозрением.

Немало и тех, кто ограничивает, блокирует, не даёт покупать, и т.д.

[Bobr-Kurwa]

Есть ещё Tor Expert Bundle - это как раз прокси без браузера. Но браузер удобнее, потому что просто так в РФ оно не взлетит, нужно с мостами поиграться, а это в браузере проще делать. Или можно настроить мосты в браузере, а потом скопировать их в конфиг сервиса.

Да, многие сервисы не любят Тор. А есть которые просто подглюкивают, например, Youtube у меня через него иногда залипает. А вот Телеграм через него работает отлично.

Но хотя бы как резервный канал Тор стоит наладить, чтобы в какой-то момент не оказаться вообще без всякого доступа в интернет.

Ещё, если говорить конкретно про Телеграм, можно попробовать TG WS Proxy, как раз человек с Хабра делает. Там трафик через websocket гонится.

[grixis]

Кстати отлично работает на пк. Жаль для телефонов нет такого.

[comrade_Che]

Есть такое. На андродид, само собой. Несколько форков от tg ws proxy

[Zachelovek]

Есть ещё Tor Expert Bundle

Спасибо, почитал про эту штуку.

Если вы им пользовались, может быть подскажете: обязательно ли его вешать, как сервис в виндоус?

А то браузер у них по умолчанию портабл, т.е. можно извлечь, запустить, закрыть когда надо, никаких установок и интеграций. Максимально удобно, но браузер большой. А этот бандл явно меньше, но судя по всему, хочет быть системным сервисом.

[disappointed]

Браузер можно не запускать. В этой сборке в каталоге tor лежит сам tor.exe, запускаешь только его, с ключём -f и передаёшь путь к конфигу - torrc, в котором свои мосты расписываешь, экзитноды итд.

[uranik]

Но 127.0.0.1:9151 это управляющий порт а socks5 на 127.0.0.1:9150 должен быть.

[Walk-in]

Доброго дня! Tor VPN вообще несколько дней не работает. Провайдер ОТ, Мегафон, МТС.

[Crazy_Pit]

проверено работает. но надо свежие мосты

[Skipy]

Она требует всего два сервера и час времени

Ждем 2-3 часа и через консоль проверяем применилась ли запись.

P.S. А что делать пользователям, для которых "NS-запись "А" " - это что-то из области дрессировки тюленей? Если уж писать пошагово, то было бы нравственно объяснить, как это делается.

[sergey_eryashev]

Принимается замечание по поводу А-записей. Но тут, я не могу дать инструкции, ибо у каждого регистратора свои "способы" внесения этих записей.

[VecH]

Ждем 2-3 часа

добавляете A запись и через буквально 2-5 минут DNS имя висит уже на назначенном IP адресе

У вас там провайдер своими ногами носит записи DNS на бумажном носителе до сервера ?

ссылки tg:/// имеют записи dd или ee ?

[sergey_eryashev]

добавляете A запись и через буквально 2-5 минут DNS имя висит уже на назначенном IP адресе

Не всегда так работает, т.к. обычно А-запись самое быстрое применяется через 30 минут, но для SSL очень важно корректно прописанные А-записи, а во время выпуска сертификата может выйти ошибка.

ссылки tg:/// имеют записи dd или ee ?

префикс ее

[DmSting]

Автор, добавьте картинку-схему для сетевых балбесов типа меня :)

Сейчас непонятно, чем это решение глобально отличается от MTProxy установленного напрямую на зарубежном VPS?

На каком именно этапе режется трафик телеги? Если на выходе на магистральные каналы - тогда ок, решение понятное. А если на первом встречном ТСПУ, который стоит тут-же у провайдера - так трафик ровно также будет зарезан, к российскому прокси он идёт или к зарубежному.

[sergey_eryashev]

Автор, добавьте картинку-схему для сетевых балбесов типа меня :)

Сетевые схемы очень ярко и красочно расписаны (схемами) в репозитория, что я использовал. Посчитал не нужным в статье писать об этом. Чисто туториал и все.

Сейчас непонятно, чем это решение глобально отличается от MTProxy установленного напрямую на зарубежном VPS?

Глобально ничем. Просто идет "маскировка" трафика под РФ трафик, а дальше уже идет трафик через service node в зарубеж.

[grixis]

Ну, это станет полезным если введут плату за зарубежный траффик мобильный. Это вообще будет решением чтобы любой трафик слать через такую связку.

[BeetleII]

Трафик телеги режется на ТСПУ провайдера.

Т.е. смысла от "маскировки" трафика под РФ нет, т.к. он не дойдет до ноды в РФ...

[Bigdoc]

Мне кажется, что mtproto установленный на российском VPS будет убит РКН примерно за день (из личного опыта) и никакой туннель дальше не спасет. РКН же распознает протокол и рвет коннект.

[Cdr80]

С посоледним обновлением телеграм исправил ошибку, из-за которой мтпрокси легко детектились.

[Bigdoc]

Как бы да, но коннект рвется по прежнему.

[Bigdoc]

Поменял SNI и секрет и всё опять заработало.

[DexterGrey]

допустим есть нода xray на RU-VPS (на базе remnawave например, или той же 3xui - не столь важно, хоть на голом ядре), которая работает в паре с EU-Нодой. почему бы не поставить на том же самом RU-VPS, рядом с xray-нодой в соседнем контейнере чистый mtproto, и направить его на инбаунд dokodemo-door сетевыми правилами? когда-то обсуждал подобные конструкции с LLM, и именно такой вариант он предложил. зачем для mtproto городить целую отдельную панель?

[rtty]

Абсолютно согласен, использую примерно такую схему: На RU сервере стоит telemt (ME, fake TLS), он подключается по socks5 через xray-core (dokodemo-door) к danted на EU сервере. Зачем danted? MTProxy middle proxy режим использует криптографию где IP и порт обоих концов соединения участвуют в выводе ключей (KDF). Если хоть один параметр не совпадает с тем что видит Telegram DC - handshake падает. Работает очень хорошо.

[DexterGrey]

есть где почитать подробно про данную реализацию?

[StreetMagic14]

в репе telemt есть ссылки на доку, так же почитать xray документацию.
В моей голове это выглядит так, mtproxy стучится в inbound секцию xray на ру ноде по socks5, а потом отправляет трафик на eu ноду в outbound

[OlegTar]

Я человек простой, вижу такую статью, сохраняю её.

[mukca]

статья ради рекламы ссылок, смысл ее сохранять?
ничего полезого нет в ней. информации в реадми к панели 3xui на гитхабе больше, а если открыть документацию..

[tdavud]

Пустая статья, проще документацию почитать

[Niccolas]

Какая-то чрезмерная сложность, после фикса протокола в клиентах, MTProto заработал нормально и нормально работает прокси который был поднял несколько месяцев назад. Да, это не решает вопрос БС, решит только сервер в БС, но всегда лучше VPN, чем только прокси.

[Newm]

Я убил часов 5, пока добился от нейросетей, что у 3X-UI с марта стандартный глюк - не прописывает в конфиге сервера shortId и какой-то из ключей. При этом в панели они прекрасно отражаются. Поэтому проще воспользоваться ИИ и просто поставить сервак по инструкции безо всякой панели при наличии нормально SSH у хостера.

Потому как это очень занимательный квест был отловить эту заразу...

[maxscitech]

Проблема усугубляется тем, что купленный иностранный VPS с вашего региона будет доступен, а с купленного VPS в Ру - нет, так как зависит от хостера/провайдера. У вас может быть один пул ТСПУ/DPI фильтров, а у РУ - хостера VPS другой. Сколько придется покупать и перебирать заграничных VPS - это уже как повезет. К тому же факт в том, что mtproto на Ру - сервере использовать - это жесткач, внесут и его и ваш заграничный VPS, потому что Ру -сервер ходил только на 1 адрес постоянно. Использовать промежуточный Ру-VPS это лишний геморрой, который ничего кроме геморроя больше не дает. Правильный вариант это XRay+Reality+XTTP безо всяких промежуточных серверов и палевных mtproto.

[Dgorbatko]

Ну а что толку то, звонить все равно через мтпрото нельзя.

А есть ли аналогичное решения для вацапа?

Живу в НЛ, родители в РФ, поднял у себя дома с проброской портов телеграм прокси, сообщения работают, звонки нет. Поднял воцап прокси - в РФ вообще не подключается.

[Mizantrop777]

Хз, у меня ip не банят. Но у меня через инжинкс, на котором ещё сайты висят.

А вот до КВН стали резать входящий трафик. Скорость падает. Исходящий - норм

[AnyDen]

Обратите внимание на новый trsuttunnel от adguard, использую уже пару месяцев на двух впс, ни разу не получал их блок, в отличии от vless серверов (xhttp+sni). Единственно неудобство это отсутствие сплит тунелирования в клиентской части в т.ч. и на андройде. Которую они почему-то не спешат реализовывать. Поэтому не будет лишним на гитхабе больше реквестов создать на эту тему.

[aglaiadymb]

Самое слабое место тут это не протоколы, а именно IP и поведенческий паттерн трафика

[OFrol]

Зависит от провайдера, но в Москве сейчас MTProxy банится на ТСПУ как протокол у многих. Неважно на какой именно сервер вы подключаетесь - в РФ или нет.

ТСПУ ловит какой-то маркер в рукопожатии и всё соединение после этого идёт лесом.

И да, это касается именно последней версии Телеграма и EE-режима.
Причём, если у вас включен режим с фоллбеком на собственный https-сервер с валидным сертификатом, то обычные https:// запросы из браузера и курла на этот же сервер и на этот же 443 порт проходят без проблем. Палится именно хендшейк mtproxy и палится мгновенно. Это не probe и это не блеклистед IP, просто РКН нашёл какой-то очень качественный маркер в самом трафике и использует его

[kest70]

прикол, но у меня запустилась вся эта конструкция, хотя в инструкции не все верно, и пришлось допиливать некоторые вещи.

[doppelhanger]

У вас тоже скрипт быстрой установки mtproto-panel кучу ошибок отдает?

[sergey_eryashev]

Можете мне написать в ЛС, постараюсь помочь с возникающей ошибкой

[sergey_eryashev]

Можно подсветить, где именно у меня ошибка?

[kest70]

например вот тут "и вставляем код для создания инбаунда..." нет ключей, и нигде не написано должны они там быть, или нет, и как их туда добавить. Прочекал через ии, добыл ключи от панели, вставил в эти настройки. Только после этого как-то заработало соединение. Кстати и сейчас работает этот mtproxy. главное не трогать ничего.

[sergey_eryashev]

Спасибо за выявленную неточность. Дополнил инструкцию.

[enotTRG]

Как настроить mtproto-panel-frontend для доступа по паролю?

[sergey_eryashev]

Не совсем понятен вопрос, доступ просто по паролю, без логина?

Если есть проблемы, можно написать мне в ЛС, я постараюсь помочь

[dingotomsk]

Сделал раза с 3го. Тупо не стартовал трафик. Зашел в ноду и в ней уже добавил прокси и все залетело. SNI vless и ноды должны совпадать.

Только вот пинг 300. Как снизить?) напрямую с vless пинг +-50

[Zhar_Stray-41kZ]

Уфф.. проще на ПК или телефон поставить Portal WG или Portal Tor, чтобы не мучиться (там DNS Google, Xbox, WireGuard, AdGuard, Cloudflare, etc). Тем более команды и коды непонятно, куда вводить, и что они делают. И вообще есть ТГК с 8 млн подписчиков, там каждый день прокси MTProto кидают (и да, в настройках ТГ надо 2 раза подержать на номере версии снизу, чтобы включить 2 секретные настройки). ByeBye DPI в основном с Ютубом справляется, но в последнее время не очень, стало больше лагов и подгрузок. На ПК есть GoodBye DPI UI, где можно включить запрет или 2 другие штуки, но некоторые сайты, доступные в РФ, блокируются из-за обходника

[nerosis]

Убил 2 часа времени на повторить описанное в инструкции.... Но все заканчивается на моменте, когда надо залогиниться в панель... Несколько раз уже переустанавливал ОС на VPS, потому что это быстрее и проще, чем удалить потом всю эту историю. Скрипт чтото где то не до конца удаляет и переустановить уже не установишь... Проще перезалить чистую ОС. рекомендованный порт 80 при запуске контейнера "занят", не смотря на то, что перед установкой на чистую ОС проверил, чтоб ничего не было. рандомный порт для панели позволяет ее установить, но увы... войти в нее потом не получается... не принимает логин/пароль. Часть с 3x-ui работает, а вот дальше... ОС ubuntu 24.04, VPS в Москве, есть свой домен.

[KoCep]

В issues есть: https://github.com/danielVNru/mtproto-panel/issues/14#issuecomment-4296448430

[Richard2111]

дай бог тебе здоровья))

[P_N_G]

Добрый день!

Подскажите дураку, в чем может быть проблема. После выполнения команды на установку и запуск ноды появляется токен, ip, порт, все как положено. Но по этим данным она в панели не цепляется. Раза 3 прошел всю инструкцию заново и всегда в этом месте затык.