MTProto — собственный протокол Telegram, специально разработанный для быстрой и защищённой передачи сообщений. Поднять личный MTProto-прокси на сервере с Debian или Ubuntu — задача, которая решается за 10 минут, но требует понимания каждого шага. В этом руководстве мы разберём установку через готовый инсталлятор, ручную настройку конфигурации, работу с firewall и типичные ошибки, которые возникают на практике.

Зачем поднимать собственный MTProto-прокси

Публичные прокси-серверы для Telegram существуют в огромном количестве, но доверять им — значит передавать метаданные своего трафика третьей стороне. Личный сервер даёт полный контроль: вы знаете, кто подключается, можете ограничить доступ по IP, сменить секрет в любой момент и быть уверены, что никто не анализирует ваш трафик.

Кроме того, корпоративные пользователи нередко сталкиваются с ситуацией, когда Telegram заблокирован на уровне корпоративного прокси или провайдера. Собственный MTProto-сервер решает эту проблему элегантно: трафик выглядит как обычный HTTPS и не вызывает подозрений у DPI-систем.

Требования к серверу

Для работы прокси вполне достаточно минимального VPS. Вот практические ориентиры:

Параметр	Минимум	Рекомендуется
CPU	1 vCPU	2 vCPU
RAM	512 МБ	1 ГБ
Диск	5 ГБ	20 ГБ
ОС	Debian 11 / Ubuntu 22.04	Debian 12 / Ubuntu 24.04
Порт	443 (предпочтительно)	443 или любой открытый

Шаг 1: Обновление системы

Перед любой установкой важно синхронизировать списки пакетов и обновить уже установленные компоненты. Пропущенное обновление ядра или библиотек может привести к конфликтам зависимостей.

apt update && apt upgrade -y
reboot

Перезагрузка после обновления обязательна, если было обновлено ядро Linux. После перезапуска убедитесь, что сервер снова доступен по SSH, и продолжайте установку.

Шаг 2: Установка необходимых пакетов

Для работы с архивом инсталлятора потребуется утилита unzip. Если на сервере используется минимальная установка ОС, её может не быть:

apt install -y unzip

Дополнительно рекомендуется сразу установить curl и wget — они пригодятся для диагностики и загрузки обновлений:

apt install -y curl wget net-tools

Шаг 3: Размещение и распаковка инсталлятора

Инсталлятор mtproto-installer удобнее всего размещать в директории /opt — это стандартное место для сторонних программ в Linux. Скопируйте архив mtproto-installer-main-fix.zip на сервер (например, через scp или SFTP-клиент) и распакуйте его:

cd /opt
unzip mtproto-installer-main-fix.zip
cd mtproto-installer-main

Шаг 4: Запуск установочного скрипта

Перед запуском убедитесь, что скрипт имеет права на выполнение. Затем запустите его с правами root:

chmod +x install.sh
./install.sh

Скрипт установит все зависимости, сгенерирует случайный секрет для подключения, создаст systemd-юнит и запустит прокси-сервер. По завершении в выводе появится готовая ссылка вида tg://proxy?server=...&port=...&secret=... — именно её нужно сохранить и передать пользователям.

Шаг 5: Проверка работы сервиса

После установки убедитесь, что прокси запущен и слушает нужный порт:

# Статус systemd-сервиса
systemctl status mtproto-proxy

# Убедиться, что порт занят процессом
ss -tlnp | grep 443

# Проверить журнал за последние 50 строк
journalctl -u mtproto-proxy -n 50 --no-pager

Если сервис не запустился, первым делом смотрите в журнал — там будет точная причина ошибки.

Настройка firewall

Если на сервере активен ufw или iptables, необходимо открыть порт, на котором слушает прокси. Для ufw:

# Открыть порт 443 TCP
ufw allow 443/tcp

# Проверить правила
ufw status verbose

Для серверов с iptables без управляющей обёртки:

iptables -I INPUT -p tcp --dport 443 -j ACCEPT
# Сохранить правила (Debian/Ubuntu)
iptables-save > /etc/iptables/rules.v4

Автозапуск и управление сервисом

Systemd-юнит, созданный инсталлятором, обычно уже включён в автозагрузку. Проверить это и управлять сервисом можно стандартными командами:

# Включить автозапуск при загрузке системы
systemctl enable mtproto-proxy

# Перезапустить после изменения конфигурации
systemctl restart mtproto-proxy

# Остановить прокси
systemctl stop mtproto-proxy

# Отключить автозапуск
systemctl disable mtproto-proxy

Смена секрета подключения

Секрет — это криптографический ключ, который использует Telegram для проверки подлинности прокси. Периодическая его смена — хорошая практика безопасности, особенно если ссылкой пользовались посторонние.

Новый секрет можно сгенерировать командой:

# Генерируем случайный 16-байтный секрет в hex
openssl rand -hex 16

Полученное значение вставьте в конфигурационный файл прокси (обычно находится в /opt/mtproto-installer-main/config или /etc/mtproto-proxy/) и перезапустите сервис. После этого сформируйте новую ссылку для подключения и разошлите её пользователям.

Мониторинг нагрузки и подключений

Даже небольшой прокси стоит мониторить — это помогает заметить аномальный трафик и заблаговременно увеличить ресурсы сервера. Несколько полезных команд:

# Количество активных подключений к порту 443
ss -tn | grep :443 | wc -l

# Потребление CPU и памяти процессом прокси
ps aux | grep mtproto

# Входящий/исходящий трафик в реальном времени
apt install -y nload && nload eth0

Для долгосрочного мониторинга рекомендуем настроить связку Prometheus + Grafana или как минимум включить netdata — это займёт ещё 5 минут и даст наглядные графики прямо в браузере.

Типичные проблемы и их решение

Прокси запустился, но Telegram не подключается

В первую очередь убедитесь, что порт действительно открыт снаружи. Проверьте с внешней машины:

curl -v telnet://<IP_сервера>:443

Если соединение не устанавливается — проблема в firewall (облачном или локальном). Если устанавливается — проверьте корректность секрета в ссылке подключения.

Ошибка «Permission denied» при запуске install.sh

Скрипт должен запускаться от root. Если вы работаете под обычным пользователем — используйте sudo:

sudo ./install.sh

Порт 443 уже занят

Если на сервере уже работает веб-сервер (nginx, Apache), он занимает порт 443. Варианты решения: изменить порт прокси на нестандартный (например, 8443), либо настроить nginx в режиме stream-proxy для пробрасывания MTProto-трафика.

# Узнать, какой процесс занимает порт 443
ss -tlnp | grep :443
# или
lsof -i :443

Сервис падает после нескольких часов работы

Изучите системный журнал за период падения:

journalctl -u mtproto-proxy --since "2026-03-23 00:00" --until "2026-03-23 12:00"

Чаще всего причина — нехватка памяти (OOM killer) или исчерпание лимита открытых файловых дескрипторов. Для увеличения лимита добавьте в /etc/security/limits.conf:

root soft nofile 65535
root hard nofile 65535

Безопасность: что нельзя оставлять по умолчанию

• Не используйте простые секреты. Никогда не задавайте секрет вручную в виде коротких или предсказуемых строк. Всегда генерируйте через openssl rand -hex 16.
• Ограничьте SSH. Если прокси — единственная цель сервера, закройте все порты кроме 22 и 443. Порт SSH желательно перенести на нестандартный.
• Настройте fail2ban. Защитит SSH от брутфорса на публичном сервере.
• Регулярно обновляйте систему. Уязвимости в OpenSSL и ядре — реальная угроза для публично доступного сервера.

Итог

Установка MTProto-прокси через готовый инсталлятор занимает не более 10 минут даже для тех, кто нечасто работает с Linux. Ключевые шаги: обновить систему, распаковать архив в /opt, выдать права и запустить install.sh. После этого — открыть порт в firewall, убедиться, что сервис в автозагрузке, и сохранить ссылку подключения.

Главное преимущество собственного прокси перед публичным — полный контроль над трафиком и конфигурацией. Вы в любой момент можете сменить секрет, посмотреть журналы, масштабировать сервер или перенести прокси на другой IP. Это особенно важно в корпоративной среде, где вопросы безопасности стоят на первом месте.