MTProto — это транспортный протокол, разработанный Николаем Дуровым специально для Telegram. MTProto-прокси принимает соединения от клиента и пересылает их на серверы Telegram, при этом шифруя и маскируя трафик. Разбираемся, как устроен протокол, какие бывают форматы secret-ключей и почему Fake TLS делает блокировку почти невозможной.
Когда вы нажимаете на ссылку вида tg://proxy?server=...&port=...&secret=..., Telegram устанавливает TCP-соединение с прокси-сервером. Прокси-сервер выступает посредником: он принимает зашифрованный MTProto-трафик от клиента и пересылает его на ближайший сервер Telegram (DC1–DC5, расположенные в Амстердаме, Майами, Сингапуре и других точках). Обратный трафик идёт тем же путём.
Принципиальное отличие от VPN: MTProto-прокси не создаёт сетевой туннель и не перенаправляет трафик других приложений. Браузер, почта, YouTube — всё это продолжает работать напрямую через вашего провайдера. Прокси обслуживает только Telegram. Подробнее о различиях — в нашем сравнении MTProto и VPN.
Сам протокол MTProto 2.0 описан в официальной документации Telegram. Транспортный уровень, который используют прокси-серверы, задокументирован отдельно: MTProto Transports.
Secret (секрет) — это 16-байтный ключ, который клиент и прокси-сервер используют для взаимной аутентификации и шифрования транспортного слоя. За историю развития протокола появилось три формата, и каждый следующий усиливал маскировку трафика.
Первая версия. Секрет — просто 16 байт в hex-кодировке, например 0123456789abcdef0123456789abcdef. Трафик шифруется, но его статистические характеристики (размеры пакетов, тайминги) легко отличаются от HTTPS. Системы DPI (Deep Packet Inspection) без труда определяют, что это MTProto, и блокируют соединение.
ddСекрет начинается с dd, например dd0123456789abcdef0123456789abcdef. К каждому пакету добавляется случайный padding — «мусорные» байты переменной длины. Это ломает сигнатуру фиксированных размеров пакетов, и простые фильтры по длине перестают срабатывать. Но TLS-хендшейка по-прежнему нет, так что продвинутый DPI всё ещё может заподозрить нестандартный протокол.
eeАктуальный формат. Секрет начинается с ee, за которым идут 16 байт ключа и имя домена для маскировки, например ee0123456789abcdef0123456789abcdef7777772e676f6f676c652e636f6d (последняя часть — hex-кодировка домена www.google.com). При подключении клиент выполняет поддельный TLS-хендшейк с указанным SNI. Для DPI и провайдера трафик выглядит как обычный HTTPS к www.google.com. Заблокировать такое соединение — значит заблокировать доступ к Google, что делает фильтрацию невозможной без массовых побочных эффектов.
Если вы настраиваете прокси самостоятельно, используйте только Fake TLS (ee). Остальные форматы устарели и уязвимы к блокировке. Подробная инструкция по запуску собственного сервера — на странице ручная настройка MTProto-прокси.
MTProto-прокси не видит содержимое ваших сообщений. Telegram использует сквозное шифрование (MTProto 2.0) между клиентом и серверами Telegram, а прокси работает на транспортном уровне — ниже. Он видит только зашифрованный поток байтов и IP-адрес клиента.
Конкретнее: секретные чаты в Telegram используют end-to-end шифрование на основе протокола Диффи-Хеллмана с 2048-битными ключами. Обычные чаты шифруются между клиентом и сервером (server-client encryption). В обоих случаях прокси-сервер не может прочитать или модифицировать содержимое — он передаёт уже зашифрованные данные.
Что прокси-сервер технически может: логировать ваш IP-адрес, время подключения и объём переданного трафика. Что не может: расшифровать сообщения, узнать, с кем вы переписываетесь, прочитать содержимое файлов. Именно поэтому доверять стоит проверенным серверам, а не случайным ссылкам из непонятных источников.
Telegram поддерживает два типа прокси в настройках: SOCKS5 и MTProto. SOCKS5 — это универсальный протокол, он работает с любым приложением, но у него нет встроенного шифрования и маскировки трафика. DPI-системы легко обнаруживают SOCKS5-соединения. MTProto-прокси, напротив, создан специально для Telegram и умеет маскироваться под HTTPS.
В регионах с активной фильтрацией (Иран, Китай, ряд стран СНГ) SOCKS5-прокси блокируются за минуты, тогда как MTProto с Fake TLS может работать месяцами. Детальное сравнение — в статье MTProto vs SOCKS5.
Самый простой способ — открыть готовую ссылку. На нашей главной странице публикуются проверенные прокси с Fake TLS. Нажмите на ссылку — Telegram предложит подключиться одним тапом.
Если хотите ввести параметры вручную: откройте Настройки → Данные и диск → Прокси → Добавить прокси → MTProto. Укажите адрес сервера, порт и secret. Пошаговые инструкции для каждой платформы собраны в разделе инструкций.
ee-секрет) — нет. Провайдер видит HTTPS-соединение к домену из маскировки (например, google.com). С raw- или dd-секретом продвинутый DPI может определить MTProto-трафик.