Повышаем стабильность Telegram: поднимаем партизанский MTProxy с Fake TLS

TL;DR: Поднимаем невидимый для DPI прокси Telegram за 15 минут. Маскируемся под обычный HTTPS-трафик к популярным сайтам. Работает там, где VPN уже не спасает.

Привет, Хабр!

Telegram блокируют всё активнее. VPN детектят и режут. Обычные прокси живут неделю. Что делать? Ответ MTProto Proxy с Fake TLS: специализированный прокси, который маскируется под обычный HTTPS-трафик к легитимным сайтам вроде сайт.ru или сайт.ru. Для DPI это выглядит как обычный визит на сайт, а на деле стабильный Telegram.

В конце статьи есть источник на канал с бесплатными прокси!

Сегодня разберём полную инструкцию: от выбора правильного VPS до эффективной маскировки и мониторинга.

Зачем это нужно?

Telegram — один из самых популярных мессенджеров в мире. Но в ряде стран его блокируют или ограничивают. Классические VPN легко обнаруживаются, а обычные прокси ещё легче. MTProto Proxy это штатный механизм Telegram для обхода блокировок, который:

• Работает только для Telegram (не для всего трафика)

• Поддерживает Fake TLS маскировку под обычный HTTPS-трафик

• Не требует установки дополнительных приложений всё настраивается прямо в Telegram

• Потребляет минимум ресурсов на сервере

Где разместить сервер: Россия vs зарубеж

Контринтуитивный совет: для пользователей внутри России часто выгоднее брать VPS внутри России, а не за границей.

Почему VPS в России может работать лучше?

Критерий	VPS в России	VPS за рубежом
Фильтрация трафика	⚠️ Минимальная между российскими серверами	❌ Жёсткая на границе РФ
Скорость	✅ Низкие пинги (5-20 мс)	⚠️ Высокие пинги (50-150 мс)
Стабильность	✅ Нет блокировок на магистралях	❌ Возможны блокировки иностранных IP
Цена	✅ Дешевле (от 200₽/мес)	⚠️ Дороже (от $5/мес)

Ключевой момент: DPI и блокировки в России работают преимущественно на границе сети — там, где трафик уходит за рубеж. Трафик между российскими серверами обычно не фильтруется так агрессивно.

Вы (Москва) → VPS (Москва) → Telegram DC (Амстердам)
              ↑ Минимальная фильтрация внутри РФ
                                ↑ Основная фильтрация здесь (но прокси уже замаскирован!)

VS

Вы (Москва) → [Граница РФ + DPI] → VPS (Амстердам) → Telegram
              ↑ ЖЁСТКАЯ фильтрация здесь!

Что такое Fake TLS и почему это важно

Когда вы подключаетесь к обычному MTProxy, трафик имеет характерные паттерны, которые системы DPI (глубокой инспекции пакетов) могут распознать. Fake TLS решает эту проблему:

1. Клиент Telegram инициирует настоящий TLS-хендшейк с вашим прокси.

2. В поле SNI (Server Name Indication) указывается домен легитимного сайта (например, сайт.ru).

3. Для стороннего наблюдателя трафик неотличим от обычного HTTPS-запроса к этому сайту.

Что нам потребуется

• VPS-сервер с Linux (Ubuntu/Debian) от 512 MB RAM.

• Docker для быстрого развёртывания.

• Доменное имя не обязательно, но нужно выбрать домен, под который будем «прятаться».

Выбор домена для маскировки

Домен должен:

• ✅ Резолвиться (иметь A-запись в DNS).

• ✅ Работать по HTTPS (иметь SSL-сертификат).

• ✅ Быть популярным (например: сайт.ru, сайт.ru, сайт.ru).

Шаг 1. Подготовка сервера

Убедитесь, что Docker установлен:

docker --version

Если нет — установите:

curl -fsSL https://get.docker.com | sh

Проверьте порт 443

MTProxy с Fake TLS должен слушать на порту 443. Если он занят (Nginx/Apache), остановите их:

ss -tulpn | grep 443
systemctl stop nginx

Шаг 2. Генерация секрета с Fake TLS

Используем образ nineseconds/mtg. Генерируем секрет для нужного домена:

docker run --rm nineseconds/mtg:2 generate-secret --hex сайт.ru

Вывод будет примерно таким:

eedc591e24110c174ffd773d832dd69b1531632e7275

📌 Сохраните этот секрет! Он содержит префикс ee и закодированный домен маскировки.

Шаг 3. Запуск MTProxy

Запускаем контейнер одной командой:

docker run -d \
  --name mtproto-proxy \
  --restart unless-stopped \
  -p 443:443 \
  nineseconds/mtg:2 \
  simple-run -n 1.1.1.1 -i prefer-ipv4 0.0.0.0:443 <ваш_секрет>

Проверяем работу:

docker ps
# Ожидаем статус "Up" на порту 443

docker logs mtproto-proxy
# Если пусто — ошибок нет

Шаг 4. Подключение

Формат ссылки:

tg://proxy?server=<IP>&port=443&secret=<секрет>

Узнать свой IP: curl -s ifconfig.me

Пример ссылки:

tg://proxy?server=185.101.139.232&port=443&secret=eedc195e24100c174ffd772d862dd69b1532632e7275

Шаг 5. Автоматизация и мониторинг

Скрипт запуска (start-mtproxy.sh)

#!/bin/bash
CONTAINER_NAME="mtproto-proxy"
SECRET="ВАШ_СЕКРЕТ"
PORT="443"

docker stop ${CONTAINER_NAME} >/dev/null 2>&1
docker rm ${CONTAINER_NAME} >/dev/null 2>&1

docker run -d \
  --name ${CONTAINER_NAME} \
  --restart unless-stopped \
  -p ${PORT}:${PORT} \
  nineseconds/mtg:2 \
  simple-run -n 1.1.1.1 -i prefer-ipv4 0.0.0.0:${PORT} ${SECRET}

Скрипт статистики (mtproxy-stats.sh)

#!/bin/bash
echo "📊 MTProxy Statistics"
docker exec mtproto-proxy ss -tn 2>/dev/null | grep ":443" | wc -l | xargs echo "Active connections:"
docker logs mtproto-proxy --tail 5 2>&1

Безопасность и устойчивость

Метод блокировки	Работает против Fake TLS?	Почему
Блокировка по IP	⚠️ Частично	Риск заблокировать легитимный трафик рядом
DPI по протоколу	❌ Нет	Трафик неотличим от HTTPS
Блокировка по SNI	❌ Нет	SNI показывает «белый» домен (1c.ru)

Рекомендации:

1. Не публикуйте ссылку публично.

2. Используйте только порт 443.

Устранение проблем

• Порт занят: ss -tulpn | grep 443 найдите и убейте процесс.

• Ошибка DNS: Используйте флаг -n 1.1.1.1 для Cloudflare DNS.

• Зависает подключение: Проверьте, открыт ли порт 443 в Firewall вашего VPS провайдера.

Итоги

Мы развернули MTProto Proxy с маскировкой Fake TLS за 15 минут. Это самый простой и эффективный способ обеспечить стабильный доступ к Telegram без установки лишнего софта на телефоны или ПК.

🎁 Бонус: Где взять готовые прокси?

Если у вас сейчас нет под рукой свободного сервера или вы хотите просто протестировать, как работает MTProto с Fake TLS на практике, можно воспользоваться готовыми решениями от сообщества.

Одним из самых популярных агрегаторов является канал @ProxyMTProto.

Как это работает:

1. Заходите в канал @ProxyMTProto.

2. Выбираете любой свежий пост с прокси.

3. Нажимаете кнопку «Connect».

4. В появившемся окне Telegram (как на скриншоте ниже) нажимаете «Включить».

Важно понимать: Бесплатные прокси часто спонсируются. Это значит, что после подключения в самом верху вашего списка чатов может появиться «Спонсорский канал». Это стандартная механика Telegram, которая позволяет владельцам прокси окупать аренду серверов. Ваш трафик при этом остается зашифрованным и недоступным для владельца прокси.