Поднимаем партизанский MTProxy с Fake TLS для Telegram

Поднимаем невидимый для DPI прокси Telegram за 15 минут. Маскируемся под обычный HTTPS-трафик к популярным сайтам. Работает там, где VPN уже не спасает.

Telegram блокируют всё активнее. VPN детектят и режут. Обычные прокси живут неделю. Что делать? Ответ MTProto Proxy с Fake TLS: специализированный прокси, который маскируется под обычный HTTPS-трафик к легитимным сайтам вроде 1c.ru или sberbank.ru. Для DPI это выглядит как обычный визит на сайт, а на деле стабильный Telegram.

Сегодня разберём полную инструкцию: от выбора правильного VPS до эффективной маскировки и мониторинга.

Зачем это нужно?

Telegram — один из самых популярных мессенджеров в мире. Но в ряде стран его блокируют или ограничивают. Классические VPN легко обнаруживаются, а обычные прокси ещё легче. MTProto Proxy это штатный механизм Telegram для обхода блокировок, который:

Работает только для Telegram (не для всего трафика)
Поддерживает Fake TLS маскировку под обычный HTTPS-трафик
Не требует установки дополнительных приложений всё настраивается прямо в Telegram
Потребляет минимум ресурсов на сервере

Где разместить сервер: Россия vs зарубеж

Не интуитивный совет: для пользователей внутри России часто выгоднее брать VPS внутри России, а не за границей.

Почему VPS в России может работать лучше?

Критерий	VPS в России	VPS за рубежом
Фильтрация трафика	⚠️ Минимальная между российскими серверами	❌ Жёсткая на границе РФ
Скорость	✅ Низкие пинги (5-20 мс)	⚠️ Высокие пинги (50-150 мс)
Стабильность	✅ Нет блокировок на магистралях	❌ Возможны блокировки иностранных IP
Цена	✅ Дешевле (от 200₽/мес)	⚠️ Дороже (от $5/мес)

Ключевой момент: DPI и блокировки в России работают преимущественно на границе сети — там, где трафик уходит за рубеж. Трафик между российскими серверами обычно не фильтруется так агрессивно.

Вы (Москва)→ VPS (Москва) → Telegram DC (Амстердам)
   ↑ Минимальная фильтрация внутри РФ
   ↑ Основная фильтрация здесь (но прокси уже замаскирован!)

VS
Вы (Москва) → [Граница РФ + DPI] → VPS (Амстердам) → Telegram
   ↑ ЖЁСТКАЯ фильтрация здесь!

Что такое Fake TLS и почему это важно

Когда вы подключаетесь к обычному MTProxy, трафик имеет характерные паттерны, которые системы DPI (глубокой инспекции пакетов) могут распознать. Fake TLS решает эту проблему:

Клиент Telegram инициирует настоящий TLS-хендшейк с вашим прокси.
В поле SNI (Server Name Indication) указывается домен легитимного сайта (например, 1c.ru).
Для стороннего наблюдателя трафик неотличим от обычного HTTPS-запроса к этому сайту.

Что нам потребуется

VPS-сервер с Linux (Ubuntu/Debian) от 512 MB RAM.
Docker для быстрого развёртывания.
Доменное имя не обязательно, но нужно выбрать домен, под который будем «прятаться».

Выбор домена для маскировки

Домен должен:

✅ Резолвиться (иметь A-запись в DNS).
✅ Работать по HTTPS (иметь SSL-сертификат).
✅ Быть популярным (например: 1c.ru, sberbank.ru, gosuslugi.ru).

Шаг 1. Подготовка сервера

Убедитесь, что Docker установлен:

docker --version

Если нет — установите:

curl -fsSL https://get.docker.com | sh

Проверьте порт 443

MTProxy с Fake TLS должен слушать на порту 443. Если он занят (Nginx/Apache), остановите их:

ss -tulpn | grep 443
systemctl stop nginx

Шаг 2. Генерация секрета с Fake TLS

Используем образ nineseconds/mtg. Генерируем секрет для нужного домена:

docker run --rm nineseconds/mtg:2 generate-secret --hex 1c.ru

Вывод будет примерно таким:

eedc591e24110c174ffd773d832dd69b1531632e7275

📌 Сохраните этот секрет! Он содержит префикс ee и закодированный домен маскировки.

Шаг 3. Запуск MTProxy

Запускаем контейнер одной командой:

docker run -d \
  --name mtproto-proxy \
  --restart unless-stopped \
  -p 443:443 \
  nineseconds/mtg:2 \
  simple-run -n 1.1.1.1 -i prefer-ipv4 0.0.0.0:443 <ваш_секрет>

Проверяем работу:

docker ps
# Ожидаем статус "Up" на порту 443

docker logs mtproto-proxy
# Если пусто — ошибок нет

Шаг 4. Подключение

Формат ссылки:

tg://proxy?server=<IP>&port=443&secret=<секрет>

Узнать свой IP: curl -s ifconfig.me

Пример ссылки:

tg://proxy?server=185.101.139.232&port=443&secret=eedc195e24100c174ffd772d862dd69b1532632e7275

Шаг 5. Автоматизация и мониторинг

Скрипт запуска (start-mtproxy.sh)

#!/bin/bash
CONTAINER_NAME="mtproto-proxy"
SECRET="ВАШ_СЕКРЕТ"
PORT="443"

docker stop ${CONTAINER_NAME} >/dev/null 2>&1
docker rm ${CONTAINER_NAME} >/dev/null 2>&1

docker run -d \
  --name ${CONTAINER_NAME} \
  --restart unless-stopped \
  -p ${PORT}:${PORT} \
  nineseconds/mtg:2 \
  simple-run -n 1.1.1.1 -i prefer-ipv4 0.0.0.0:${PORT} ${SECRET}

Скрипт статистики (mtproxy-stats.sh)

#!/bin/bash
echo "📊 MTProxy Statistics"
docker exec mtproto-proxy ss -tn 2>/dev/null | grep ":443" | wc -l | xargs echo "Active connections:"
docker logs mtproto-proxy --tail 5 2>&1

Безопасность и устойчивость

Метод блокировки	Работает против Fake TLS?	Почему
Блокировка по IP	⚠️ Частично	Риск заблокировать легитимный трафик рядом
DPI по протоколу	❌ Нет	Трафик неотличим от HTTPS
Блокировка по SNI	❌ Нет	SNI показывает «белый» домен (1c.ru)

Рекомендации:

Не публикуйте ссылку публично.
Используйте только порт 443.
Обновляйте Docker-образ (docker pull nineseconds/mtg:2).

Устранение проблем

Порт занят: ss -tulpn | grep 443 найдите и убейте процесс.
Ошибка DNS: Используйте флаг -n 1.1.1.1 для Cloudflare DNS.
Зависает подключение: Проверьте, открыт ли порт 443 в Firewall вашего VPS провайдера.

Итоги

Мы развернули MTProto Proxy с маскировкой Fake TLS за 15 минут. Это самый простой и эффективный способ обеспечить стабильный доступ к Telegram без установки лишнего софта на телефоны или ПК.