MTProto-прокси — это специальный тип прокси-сервера, разработанный Telegram для своего же клиента. Подключаться к нему быстрее, чем к обычному HTTP или SOCKS5: одна ссылка вида tg://proxy?..., и через секунду в шапке приложения загорается значок-щит. Сам трафик при этом маскируется под обычные HTTPS-запросы — провайдеру тяжело его отличить от посещения веб-сайтов.

Ниже — как устроен этот протокол, что внутри длинного secret-ключа, чем Fake-TLS отличается от классической версии и какие подводные камни есть у публичных серверов. Если нужен общий гид по прокси для Телеграма — он лежит здесь.

Попробовать MTProto в работе

Подключиться к лидеру каталога TGX в один тап

Россия

35 ms
Подключить

Прокси сработал?

Что такое MTProto и почему он важен для Телеграма

MTProto — основной криптопротокол Телеграма. Им шифруется любой обмен между приложением и серверами мессенджера: переписка, звонки, отправка файлов, обновление списка чатов. Разработан командой Дурова в 2013 году, оптимизирован под мобильные сети с нестабильным соединением и быстрыми переключениями между Wi-Fi и сотовой связью.

Когда тот же протокол используют не клиент с сервером Телеграма, а сторонний прокси-сервер с тем же клиентом — это и называется MTProto-прокси. По сути, это серверы-посредники, говорящие на том же языке, что и официальные дата-центры. Telegram-приложение не замечает, что подключилось не к Telegram-серверу напрямую, — для него протокол одинаковый.

Зачем нужен отдельный прокси-протокол, если уже есть HTTP и SOCKS5? Главных причин три. Во-первых, обычные прокси не маскируют трафик — провайдер видит «вот SOCKS5-туннель» и при желании режет. Во-вторых, MTProto оптимизирован под нестабильную мобильную сеть: при потере пакета клиент сам пересобирает соединение, не выкидывая пользователя из чата. В-третьих, авторизация на MTProto-прокси работает через единственный параметр — secret-ключ, без логинов и паролей. Подключение упрощается до одной ссылки.

Подробный обзор всех вариантов прокси для Телеграма — в гиде «Прокси для Телеграм 2026». Эта статья — про техническую часть MTProto: как он устроен внутри и почему пробивается через DPI там, где обычные прокси молча умирают.

Чем MTProto-прокси отличается от обычного прокси

Главное отличие — в способе маскировки. Обычный SOCKS5-прокси не пытается выглядеть как что-то другое: в трафике видна характерная подпись протокола, и современные DPI-фильтры режут такие соединения автоматически. MTProto-прокси современного поколения (Fake-TLS) намеренно подделывает свой первый пакет под обычное HTTPS-обращение к веб-сайту. Провайдер видит «пользователь зашёл на какой-то сайт» и пропускает.

Второе отличие — авторизация без логина и пароля. Вместо них — единственное значение, secret (длинная hex-строка). Эта строка одновременно работает как «пароль для прокси» и как «инструкция, под какой сайт маскироваться». Разбор устройства secret — ниже, отдельным блоком.

Третье — только Телеграм. SOCKS5-сервер можно использовать в браузере, Telegram-клиенте, торрент-приложении — где угодно. MTProto-прокси понимает протокол только одного приложения. Если попытаться пустить через него Chrome — не получится: маршрут построен под MTProto-сессии, не под произвольный TCP.

Краткое сравнение по основным параметрам:

ПараметрMTProto-прокси (Fake-TLS)SOCKS5HTTP-прокси
Маскировка под HTTPSданетнет
Авторизацияsecret-ключлогин/парольлогин/пароль
Универсальность приложенийтолько Телеграмлюбыебраузерные

Полное сравнение всех четырёх популярных протоколов (MTProto, SOCKS5, Fake-TLS, VLESS) — в материале «Какой прокси выбрать для Телеграм». Отдельный гайд по SOCKS5 со скриншотами настройки — тут.

Как работает MTProto-прокси — в трёх стадиях

Когда клиент подключается к MTProto-прокси, под капотом проходят три стадии. На уровне приложения это выглядит как «нажал на ссылку → загорелся щит», но в сети происходит вот что:

Стадия 1. Рукопожатие с прокси-сервером. Telegram-клиент устанавливает TCP-соединение с MTProto-сервером по указанному IP и порту. В первом же пакете он передаёт зашифрованный блок, в котором зашит secret и метаданные сессии. Сервер проверяет, что secret совпадает с его собственным, и подтверждает соединение. Если используется Fake-TLS, этот первый пакет дополнительно подделан под TLS ClientHello — провайдер видит «обычный HTTPS-запрос к какому-то сайту».

Стадия 2. Туннель к Telegram-инфраструктуре. После установления соединения с клиентом прокси-сервер открывает второе соединение — уже с дата-центрами Telegram (их несколько, разбросаны по миру). Клиент не знает, где именно стоит дата-центр, и не подключается к нему напрямую — за это отвечает прокси.

Стадия 3. Двусторонний обмен. Дальше прокси работает как обычный туннель: пакеты от клиента передаются в Telegram, ответы от Telegram возвращаются клиенту. Всё проходит через прокси-сервер в обе стороны, без расшифровки на промежуточном узле.

Схема работы MTProto-прокси: клиент устанавливает зашифрованное соединение с MTProto-сервером, сервер открывает туннель к дата-центрам Telegram, идёт двусторонний обмен

Важная деталь — содержимое сообщений зашифровано отдельно, поверх транспортного протокола MTProto-прокси. Это значит: даже если прокси-сервер заведомо вредоносный и попытается прочитать переписку — он увидит только зашифрованные пакеты. Содержание чатов идёт по схеме end-to-end MTProto-Mobile, ключи никогда не покидают устройств клиента и собеседника.

Что прокси-сервер видит: IP клиента, время сессии, объём переданного трафика, факт обращения к серверам Telegram. Метаданные — да. Содержание — нет. Если этого недостаточно для вашей задачи и нужна полная анонимность от посредника — нужен либо свой MTProto-сервер на VPS, либо полноценный VPN с прозрачной политикой логов.

Попробовать MTProto в действии можно прямо сейчас — рабочие прокси с пингом и голосами пользователей лежат в каталоге TGX.

Что такое secret-ключ и откуда он берётся

Secret — это длинная hex-строка из 44 или 48 символов, которая идёт после secret= в tg://proxy-ссылке. Без неё подключиться к прокси не получится. Эта же строка кодирует, какой тип прокси перед нами (классический MTProto или Fake-TLS) и под какой сайт он маскируется, если используется Fake-TLS.

Чтобы разобрать структуру, возьмём абстрактный пример из открытого обучающего материала на GitHub (fastbrains13/MTProto-with-fake-tls — там по инструкции secret-формула одинаковая для любого Fake-TLS-сервера). Допустим, secret выглядит так:

eeAABBCCDDEEFFAABBCCDDEEFFAABBCC112233445566
БайтыЧто значит
ee (2 hex символа, 1 байт)Префикс Fake-TLS — современный тип MTProto с маскировкой под HTTPS. Без ee в начале — это классический MTProto без маскировки
32 hex символа (16 байт)Серверный секрет — случайная строка, которая выдаётся при установке прокси. Это и есть «пароль» для рукопожатия, по нему сервер проверяет, что подключается легитимный клиент
оставшиеся hex символыhex-domain — закодированное в hex имя сайта-маскировки, под который прокси прикидывается в TLS ClientHello

Чтобы превратить hex-domain в обычное доменное имя, можно использовать Python:

python3 -c "print(bytes.fromhex('112233445566').decode())"

Команда конвертирует hex-строку в ASCII. У реальных Fake-TLS-прокси там обычно стоит крупный популярный сайт — Yandex, VK, Gosuslugi и подобные. Логика проста: трафик от клиента к таким сайтам и без того идёт через провайдера потоком, фильтр не может «всё подряд резать», иначе клиенты не смогут пользоваться российскими сервисами.

Что секрет не раскрывает — содержание сообщений в Телеграме. Они шифруются end-to-end на отдельном уровне MTProto, и владельцу прокси-сервера ключи от них не доступны. Аналогия: secret — это билет на поезд. По нему пускают в вагон, но никто не открывает чемоданы и не читает что в них.

Что владелец прокси-сервера видит, даже если ведёт себя добросовестно: IP клиента, время каждой сессии, общий объём трафика. Метаданные, не контент. Этого хватает для базовой статистики и не хватает для прослушки переписки.

Почему мы не разбираем secret нашего собственного лидера. Структура одинаковая у всех Fake-TLS-серверов, разбор публичного примера достаточен для понимания. Конкретный secret лидера каталога TGX лежит в открытой карточке /proxy/nevpn/ — кто хочет, расшифрует байты сам по формуле выше. Мы публично его не парсим, чтобы провайдеры не начали целенаправленно фильтровать обращения к конкретному сайту-маскировке именно нашего сервера.

Если вместо ee в начале secret стоят другие символы (dd или просто пара hex без явного маркера) — это классический MTProto без маскировки. Такой работает медленнее в условиях активного DPI, и в современных РФ-сетях быстрее умирает.

Fake-TLS и MTProto v2 — последние эволюции протокола

MTProto-прокси за свою историю прошёл три заметных стадии. В 2013 году Telegram запустил первую версию MTProto — общий криптопротокол для клиент-серверного обмена. Тогда же появилась идея отдельных прокси-серверов на том же протоколе, но ранние реализации были простыми и легко вычислялись по характерным паттернам трафика.

В 2019 году вышел MTProto v2 — пересборка крипто-части основного протокола. Усилили обмен ключами при рукопожатии, заменили часть алгоритмов на более устойчивые к известным атакам. Прокси-формат тоже подтянули — рукопожатие стало менее предсказуемым для DPI-анализа.

В начале 2020-х появился Fake-TLS — обновление, которое радикально поменяло видимость прокси-трафика в сети. Идея простая и красивая: первый пакет от клиента к прокси-серверу подделывается под обычный TLS ClientHello — тот самый, что отправляет браузер, когда вы открываете любой HTTPS-сайт. Внутри пакета даже указано имя сайта (SNI — Server Name Indication) — то самое имя, что зашито в hex-domain секрета. Провайдер видит «клиент подключается к VK / Yandex / Gosuslugi» и не блокирует — иначе пострадают добросовестные пользователи.

Когда какой вариант использовать на практике:

  • Сеть без активного DPI (домашний интернет провайдера без жёстких фильтров) — справится и классический MTProto. Хочется простоты — берём первый рабочий.
  • DPI лютует или провайдер режет целые подсети — нужен только Fake-TLS. Без префикса ee в секрете прокси умрёт за минуты или часы.
  • Корпоративная сеть с глубоким анализом трафика — Fake-TLS с маскировкой под крупный сайт. Дополнительная страховка — выбирать прокси с пингом до 50 мс и временем жизни сервера от нескольких дней.

В каталоге TGX лидером всегда прибит Fake-TLS-сервер — это сознательный выбор редакции. Современные РФ-сети без поддержки маскировки работают плохо, тратить голоса пользователей на нестабильные серверы старого поколения нет смысла. Конкретный текущий лидер с пингом и страной — в каталоге.

MTProto vs другие прокси-протоколы — короткое сравнение

Для Телеграма работают несколько вариантов прокси, и каждый подходит под свою ситуацию:

ПротоколСкоростьСтойкость к DPIСложность настройкиКогда выбрать
MTProto (классический)высокаясредняяминимальнаябазовая сеть без активного DPI
Fake-TLS / MTProto v2высокаявысокаяминимальнаяDPI режет соединения, нужна маскировка
SOCKS5средняянизкаясредняянужна авторизация логин/пароль, корпоративный сценарий
VLESSвысокаяочень высокаявысокаясильный DPI, есть свой VPS, готовы повозиться

MTProto-семейство (классический + Fake-TLS) — оптимальный выбор для большинства пользователей. Простота подключения в одно касание, родной протокол Телеграма, готовая инфраструктура публичных серверов. SOCKS5 имеет смысл в узких сценариях, VLESS — для тех, кто поднимает прокси сам.

Развёрнутое сравнение всех четырёх протоколов с примерами настройки — в материале «Какой прокси выбрать для Телеграм».

Где брать рабочие MTProto-прокси

Эта статья — про устройство протокола, не про каталог. Подробный обзор источников и сравнение по стабильности — в гиде по прокси. Короткая выжимка:

  • Каталог TGX (/proxy/) — наш живой список с голосованием пользователей и ручной проверкой редакции. Новые серверы проходят модерацию.
  • GitHub-репозитории — например, SoliSpirit/mtproto с обновлением каждые 12 часов. Удобно для скриптов, неудобно для людей: нужно открывать GitHub при каждом «прокси умер».
  • Свой MTProto-сервер на VPS — для продвинутых, кто готов вложить полчаса и ~200 ₽/мес. Не умирает по чужой блокировке. Готовый Docker-образ + инструкция — например, на Хабре.

Отдельная зона риска — бесплатные публичные прокси из случайных источников. Со средним сроком жизни в несколько часов, без понятной репутации владельца, без гарантий, что secret не подменён. Честный разбор источников с галочками «безопасно/рискованно» — в материале «Бесплатные прокси для Телеграм».

Если хочется сразу увидеть MTProto в работе, без долгих сравнений — откройте каталог TGX и нажмите «Подключить» в карточке прокси-лидера. Телеграм откроется с заполненными полями.

Если хочется глубже — связанные термины

Несколько понятий, которые часто встречаются в разговорах об MTProto и сетевой приватности в целом:

  • Handshake — обмен ключами при установлении соединения. В MTProto-прокси handshake скрывает реальный протокол под видом TLS-рукопожатия.
  • DPI (Deep Packet Inspection) — глубокая проверка трафика провайдером. Анализирует не только адреса и порты, но и содержимое пакетов, чтобы вычислять и резать определённые протоколы.
  • MITM (Man-In-The-Middle) — атака посредника, при которой кто-то встраивается между клиентом и сервером и пытается читать или подменять трафик. End-to-end шифрование Телеграма защищает от MITM на уровне содержимого, но не на уровне метаданных.
  • Obfuscation — намеренное запутывание трафика, чтобы он не выглядел как сам себя. Fake-TLS — это разновидность obfuscation: MTProto-трафик подделывается под HTTPS.
  • End-to-end шифрование — шифрование от клиента до клиента, без промежуточной расшифровки на сервере. В Телеграме end-to-end включён по умолчанию для звонков и секретных чатов, и не включён для обычных чатов (они шифруются client-server-client).

Полный глоссарий по теме приватности и сетей — в глоссарии TGX.

Когда базового прокси уже мало

MTProto-прокси возвращает Телеграм, но если нужны ChatGPT, Figma или другие заблокированные сервисы — нужен полноценный VPN. У НЕВПН — единая подписка для всех задач.

Подключить НЕВПН →

Частые вопросы

Что такое MTProto-прокси простыми словами?

Это специальный тип прокси-сервера, который работает по родному протоколу Телеграма. Подключается одной ссылкой tg://proxy?..., маскирует трафик под обычные HTTPS-запросы и не требует логина с паролем — только secret-ключ.

Чем MTProto отличается от обычного SOCKS5?

Три ключевых отличия. MTProto работает только с Телеграмом, SOCKS5 — со всеми приложениями. MTProto современного поколения (Fake-TLS) маскирует трафик под HTTPS, SOCKS5 не маскируется и легко вычисляется DPI-фильтрами. И MTProto использует один параметр для авторизации (secret-ключ), а SOCKS5 — пару логин/пароль. Подробное сравнение всех протоколов — в материале «Какой прокси выбрать для Телеграм».

Что такое secret в MTProto-прокси?

Длинная hex-строка после secret= в ссылке tg://proxy. Она одновременно работает как пароль для рукопожатия с сервером и как инструкция, под какой сайт маскироваться, если это Fake-TLS-прокси. Если строка начинается на ee — это современный Fake-TLS, в конце такого secret зашит hex-domain сайта-маскировки. Разбор устройства — в разделе «Что такое secret-ключ» этой статьи.

Чем MTProto v2 и Fake-TLS отличаются от классического MTProto?

MTProto v2 (2019) — это обновление крипто-части протокола: усилили обмен ключами, заменили часть алгоритмов на более устойчивые. Fake-TLS (начало 2020-х) — обновление транспортного слоя: первый пакет от клиента к серверу подделывается под обычный TLS ClientHello. Провайдер видит «обращение к веб-сайту», а не «MTProto-туннель». Современные публичные прокси почти все Fake-TLS — без маскировки трафик слишком заметен в РФ-сетях.

Можно ли использовать MTProto-прокси для других мессенджеров?

Нет. MTProto разработан специально под Телеграм. Другие мессенджеры используют собственные транспортные и криптографические протоколы — MTProto к ним не подходит, как и они не подходят к Телеграму. Для других приложений нужен либо универсальный прокси (SOCKS5, HTTP), либо полноценный VPN, который туннелирует весь трафик устройства.

Безопасны ли публичные MTProto-прокси?

Содержание сообщений защищено в любом случае — оно шифруется end-to-end на уровне MTProto-Mobile, и владелец прокси-сервера ключей от него не имеет. Что прокси-сервер видит — это IP клиента, время сессии и объём трафика. Если этого достаточно — публичный прокси подходит. Если нужна полная анонимность от посредника — лучше поднимать свой MTProto на VPS или использовать VPN с прозрачной политикой логов. И главный совет — не берите прокси из случайных источников: предпочтительнее каталоги с модерацией, как у нас, или авторитетные GitHub-репозитории.

Как создать собственный MTProto-сервер?

Нужен VPS (от 200 ₽/мес у популярных провайдеров — Timeweb Cloud, RUVDS, Selectel) и образ Docker с готовой реализацией MTProto-прокси. После запуска контейнера сервер генерирует secret, клиент подключается обычной ссылкой tg://proxy?.... Готовая пошаговая инструкция с командами и настройкой Fake-TLS — статья на Хабре «Настраиваем MTProto прокси с Fake TLS за 5 минут» или GitHub-репо fastbrains13/MTProto-with-fake-tls. Когда у нас появится собственный гайд с расширенным разбором провайдеров — заменим эту ссылку на внутреннюю.