Update CfWorker.md

Version bump
Update CfWorker.md
2026-05-22 23:41:44 +03:00 · 2026-05-16 11:47:56 +03:00 · 2026-05-16 11:32:48 +03:00 · 2026-05-16 11:32:12 +03:00 · 2026-05-16 11:31:21 +03:00 · 2026-05-16 11:17:42 +03:00
38 changed files with 1871 additions and 603 deletions
--- a/.gitattributes
+++ b/.gitattributes
@@ -0,0 +1,9 @@
 * text=auto eol=lf
 *.py text diff=python
 *.spec text linguist-language=Python
 *.toml text
 *.txt text
 *.ico binary
--- a/.github/CODEOWNERS
+++ b/.github/CODEOWNERS
@@ -0,0 +1,11 @@
 # Default owners
 * @Flowseal
 # Automation and repository settings
 .github/** @Flowseal
 # Documentation
 docs/** @Flowseal
 # Core proxy implementation
 proxy/** @Flowseal
--- a/.github/ISSUE_TEMPLATE/bug_report.yml
+++ b/.github/ISSUE_TEMPLATE/bug_report.yml
@@ -1,20 +1,23 @@
 name: 🐛 Проблема
 title: '[Проблема] '
 description: Сообщить о проблеме
-labels: ['type: проблема', 'status: нуждается в сортировке']
+labels: ['bug']
 body:
-  - type: textarea
+  - type: input
-    id: description
+    id: app_version
    attributes:
-      label: Опишите вашу проблему
+      label: Версия TG WS Proxy
-      description: Чётко опишите проблему с которой вы столкнулись
+      description: Укажите версию приложения (например, v1.2.3)
-      placeholder: Описание проблемы
+      placeholder: vX.Y.Z
    validations:
      required: true
  - type: textarea
-    id: additions
+    id: description
    attributes:
-      label: Дополнительные детали
+      label: Опишите вашу проблему
-      description: Если у вас проблемы с работой прокси, то приложите файл логов в момент возникновения проблемы.
+      description: Чётко опишите проблему, с которой вы столкнулись
      placeholder: Описание проблемы
    validations:
      required: true
--- a/.github/ISSUE_TEMPLATE/config.yml
+++ b/.github/ISSUE_TEMPLATE/config.yml
@@ -0,0 +1,6 @@
 blank_issues_enabled: false
 contact_links:
  - name: 📚 Документация
    url: https://github.com/Flowseal/tg-ws-proxy/tree/main/docs
    about: Ознакомьтесь с документацией перед созданием issue
--- a/.github/ISSUE_TEMPLATE/feature_request.yml
+++ b/.github/ISSUE_TEMPLATE/feature_request.yml
@@ -0,0 +1,37 @@
 name: 🚀 Предложение
 title: '[Предложение] '
 description: Предложить улучшение или новую функциональность
 labels: ['enhancement']
 body:
  - type: textarea
    id: solution
    attributes:
      label: Предлагаемое решение
      description: Опишите, как именно вы предлагаете улучшить проект
      placeholder: |
        Предлагаю добавить ...
        Это позволит ...
    validations:
      required: true
  - type: dropdown
    id: platform
    attributes:
      label: Для какой платформы актуально?
      description: Выберите платформу, если предложение связано с конкретной ОС
      options:
        - Все платформы
        - Windows
        - macOS
        - Linux
        - Другое
    validations:
      required: true
  - type: textarea
    id: context
    attributes:
      label: Дополнительный контекст
      description: Добавьте примеры, ссылки, скриншоты или другие детали
      placeholder: Любые дополнительные материалы по предложению
--- a/.github/cfproxy-domains.txt
+++ b/.github/cfproxy-domains.txt
@@ -3,3 +3,8 @@ vmmzovy.com
 mkuosckvso.com
 zaewayzmplad.com
 twdmbzcm.com
 awzwsldi.com
 clngqrflngqin.com
 tjacxbqtj.com
 bxaxtxmrw.com
 dmohrsgmohcrwb.com
--- a/.github/workflows/build.yml
+++ b/.github/workflows/build.yml
@@ -26,7 +26,7 @@ jobs:
      - name: Setup Python
        uses: actions/setup-python@v6
        with:
-          python-version: "3.12"
+          python-version: "3.11"
          cache: "pip"
      - name: Setup MSVC 14.40 toolset
@@ -38,10 +38,11 @@ jobs:
        run: pip install .
      - name: Build PyInstaller bootloader from source
        run: |
          pip install "pyinstaller==6.16.0" --no-binary pyinstaller
        env:
-          PYINSTALLER_COMPILE_BOOTLOADER: 1
+          PYINSTALLER_COMPILE_BOOTLOADER: "1"
        run: |
          pip download --no-binary pyinstaller --no-deps --no-cache-dir -d pyinstaller_src "pyinstaller==6.10.0"
          pip install (Get-ChildItem pyinstaller_src\*.tar.gz).FullName
      - name: Build EXE with PyInstaller
        run: pyinstaller packaging/windows.spec --noconfirm
@@ -193,7 +194,7 @@ jobs:
          python3.12 -m pip install --no-deps wheelhouse/universal2/*.whl
          python3.12 -m pip install .
-          python3.12 -m pip install pyinstaller==6.16.0
+          python3.12 -m pip install pyinstaller==6.13.0
      - name: Create macOS icon from ICO
        run: |
@@ -295,7 +296,7 @@ jobs:
        run: |
          .venv/bin/pip install --upgrade pip
          .venv/bin/pip install .
-          .venv/bin/pip install "pyinstaller==6.16.0"
+          .venv/bin/pip install "pyinstaller==6.13.0"
      - name: Build binary with PyInstaller
        run: .venv/bin/pyinstaller packaging/linux.spec --noconfirm
@@ -358,6 +359,76 @@ jobs:
            "$PKG_ROOT" \
            "dist/TgWsProxy_linux_amd64.deb"
      - name: Create .rpm package with fpm
        run: |
          set -euo pipefail
          VERSION="${{ github.event.inputs.version }}"
          VERSION="${VERSION#v}"
          sudo gem install fpm -v 1.17.0
          mkdir -p rpm_package/usr/bin
          mkdir -p rpm_package/usr/share/applications
          mkdir -p rpm_package/usr/share/icons/hicolor/256x256/apps
          cp dist/TgWsProxy_linux_amd64 rpm_package/usr/bin/tg-ws-proxy
          chmod 755 rpm_package/usr/bin/tg-ws-proxy
          .venv/bin/python - <<PY
          from PIL import Image
          Image.open("icon.ico").save(
              "rpm_package/usr/share/icons/hicolor/256x256/apps/tg-ws-proxy.png",
              "PNG",
          )
          PY
          cat > rpm_package/usr/share/applications/tg-ws-proxy.desktop <<EOF
          [Desktop Entry]
          Type=Application
          Name=TG WS Proxy
          GenericName=Telegram Proxy
          Comment=Telegram Desktop WebSocket Bridge Proxy
          Exec=tg-ws-proxy
          Icon=tg-ws-proxy
          Terminal=false
          Categories=Network;
          StartupNotify=true
          Keywords=telegram;proxy;websocket;
          EOF
          cat > post_install.sh <<EOF
          #!/bin/bash
          if [ -x /usr/bin/update-desktop-database ]; then
            /usr/bin/update-desktop-database &> /dev/null || :
          fi
          if [ -x /usr/bin/gtk-update-icon-cache ]; then
            /usr/bin/gtk-update-icon-cache -q /usr/share/icons/hicolor &> /dev/null || :
          fi
          EOF
          chmod +x post_install.sh
          fpm -s dir \
              -t rpm \
              -n tg-ws-proxy \
              -v ${VERSION} \
              --iteration 1 \
              --architecture x86_64 \
              --license "MIT" \
              --vendor "Flowseal" \
              --maintainer "Flowseal" \
              --url "https://github.com/Flowseal/tg-ws-proxy" \
              --description "MTProto/WebSocket bridge proxy for Telegram Desktop with tray UI." \
              --depends "libgtk-3.so.0()(64bit)" \
              --depends "libayatana-appindicator3.so.1()(64bit)" \
              --depends "python3-tkinter" \
              --after-install post_install.sh \
              --after-remove post_install.sh \
              -C rpm_package \
              .
          mv tg-ws-proxy-${VERSION}-1.x86_64.rpm dist/TgWsProxy_linux_amd64.rpm
      - name: Upload artifact
        uses: actions/upload-artifact@v7
        with:
@@ -365,6 +436,7 @@ jobs:
          path: |
            dist/TgWsProxy_linux_amd64
            dist/TgWsProxy_linux_amd64.deb
            dist/TgWsProxy_linux_amd64.rpm
  release:
    needs: [build-windows, build-win7, build-macos, build-linux]
@@ -383,7 +455,12 @@ jobs:
          tag_name: ${{ github.event.inputs.version }}
          name: "TG WS Proxy ${{ github.event.inputs.version }}"
          body: |
-            ## TG WS Proxy ${{ github.event.inputs.version }}
+            ## 
            ### [❤️ Поддержать развитие проекта](https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/Funding.md)
            > [!TIP]
            > Не можете скачать?
            > Добавьте `185.199.109.133 release-assets.githubusercontent.com` в hosts или воспользуйтесь зеркалом: https://sourceforge.net/projects/tg-ws-proxy.mirror/files/
          files: |
            dist/TgWsProxy_windows.exe
            dist/TgWsProxy_windows_7_64bit.exe
@@ -391,6 +468,7 @@ jobs:
            dist/TgWsProxy_macos_universal.dmg
            dist/TgWsProxy_linux_amd64
            dist/TgWsProxy_linux_amd64.deb
            dist/TgWsProxy_linux_amd64.rpm
          draft: false
          prerelease: false
        env:
--- a/.github/workflows/issue-triage.yml
+++ b/.github/workflows/issue-triage.yml
@@ -0,0 +1,42 @@
 name: Auto comment on new issues
 on:
  issues:
    types: [opened]
 permissions:
  issues: write
 jobs:
  comment:
    if: contains(github.event.issue.labels.*.name, 'bug')
    runs-on: ubuntu-latest
    steps:
      - name: Comment on new issue
        uses: peter-evans/create-or-update-comment@v5
        with:
          issue-number: ${{ github.event.issue.number }}
          body: |
            ### Проверьте две вещи:
            - вы на последней версии: [Releases](https://github.com/Flowseal/tg-ws-proxy/releases)
            - запускали по инструкции для своей ОС: [Быстрый старт](https://github.com/Flowseal/tg-ws-proxy#навигация)
            ## Решение частых проблем:
            **Q**: Не запускается, падает с ошибкой, не работает как раньше после обновления?  
            **A**:
            1. Удалите всё в папке Temp (или хотя бы всё, что начинается с _MEI) 
            2. Запускайте от имени админа
            3. Попробуйте Win7 версию (если вы пользователь Windows)
            4. Попробуйте отключить антивирус (если помогло, то добавьте exe в исключения). Не забудьте включить антивирус обратно.
            ###
            **Q**: Не грузит медиа? (фото/видео/стикеры)  
            **A**: Удалите в настройках прокси в поле **DC → IP** всё, кроме `4:149.154.167.220`. Если это не помогло, полностью очистите это поле.
            #### Если проблема решена, то закройте Issue
            ### Если проблема осталась, пожалуйста, приложите по возможности логи.
            Сделать это можно через иконку в трее -> Пкм -> Открыть логи. Сохраните логи в файл и приложите его сюда.
--- a/.gitignore
+++ b/.gitignore
@@ -6,6 +6,8 @@ __pycache__/
 dist/
 build/
 *.spec.bak
 venv/
 .venv/
 # PyInstaller
 *.manifest
@@ -22,9 +24,4 @@ Thumbs.db
 Desktop.ini
 .DS_Store
 # Project-specific (not for the repo)
 scan_ips.py
 scan.txt
 AyuGramDesktop-dev/
 tweb-master/
 /icon.icns
--- a/CONTRIBUTING.md
+++ b/CONTRIBUTING.md
@@ -0,0 +1,48 @@
 # CONTRIBUTING
 Спасибо за желание помочь проекту `tg-ws-proxy`.
 ## Перед созданием issue
 1. Проверьте документацию в `docs/README.md`.
 2. Убедитесь, что похожий issue еще не открыт.
 3. Для корректной работы triage используйте стандартные лейблы из `.github/labels.md`.
 ## Как сообщать о проблемах
 - Используйте шаблон `Проблема`.
 - По возможности укажите:
  - версию приложения,
  - ОС,
  - шаги воспроизведения,
  - ожидаемое и фактическое поведение,
  - лог-файл или текст ошибки.
 Чем точнее описание, тем быстрее можно помочь.
 ## Локальный запуск из исходников
 Требуется Python `>=3.8`.
 ```bash
 pip install -e .
 ```
 Запуск:
 - консольный режим: `tg-ws-proxy`
 - Windows tray: `tg-ws-proxy-tray-win`
 - macOS tray: `tg-ws-proxy-tray-macos`
 - Linux tray: `tg-ws-proxy-tray-linux`
 Подробности: `docs/BuildFromSource.md`.
 ## Pull Request
 Перед открытием PR:
 1. Убедитесь, что изменение решает конкретную проблему.
 2. Проверьте, что не сломаны существующие сценарии.
 3. Обновите документацию, если меняется поведение или настройка.
 Небольшие и сфокусированные PR проверяются и принимаются быстрее.
--- a/3
+++ b/3
@@ -24,6 +24,7 @@ ENV PYTHONDONTWRITEBYTECODE=1 \
    PATH=/opt/venv/bin:$PATH \
    TG_WS_PROXY_HOST=0.0.0.0 \
    TG_WS_PROXY_PORT=1443 \
    TG_WS_PROXY_SECRET=""  \
    TG_WS_PROXY_DC_IPS="2:149.154.167.220 4:149.154.167.220"
 RUN apt-get update \
@@ -41,5 +42,5 @@ USER app
 EXPOSE 1443/tcp
-ENTRYPOINT ["/usr/bin/tini", "--", "/bin/sh", "-lc", "set -eu; args=\"--host ${TG_WS_PROXY_HOST} --port ${TG_WS_PROXY_PORT}\"; for dc in ${TG_WS_PROXY_DC_IPS}; do args=\"$args --dc-ip $dc\"; done; exec /opt/venv/bin/python -u proxy/tg_ws_proxy.py $args \"$@\"", "--"]
+ENTRYPOINT ["/usr/bin/tini", "--", "/bin/sh", "-lc", "set -eu; args=\"--host ${TG_WS_PROXY_HOST} --port ${TG_WS_PROXY_PORT}\"; for dc in ${TG_WS_PROXY_DC_IPS}; do args=\"$args --dc-ip $dc\"; done; if [ -n \"${TG_WS_PROXY_SECRET}\" ]; then args=\"$args --secret ${TG_WS_PROXY_SECRET}\"; fi; exec /opt/venv/bin/python -u proxy/tg_ws_proxy.py $args \"$@\"", "--"]
 CMD []
--- a/docs/BuildFromSource.md
+++ b/docs/BuildFromSource.md
@@ -0,0 +1,75 @@
 # Установка из исходников
 ## Консольный прокси
 Для запуска только прокси без интерфейса системного трея достаточно базовой установки:
 ```bash
 pip install -e .
 tg-ws-proxy
 ```
 ## Tray-приложение по ОС
 ### Windows 7/10+
 ```bash
 pip install -e .
 tg-ws-proxy-tray-win
 ```
 ### macOS
 ```bash
 pip install -e .
 tg-ws-proxy-tray-macos
 ```
 ### Linux
 ```bash
 pip install -e .
 tg-ws-proxy-tray-linux
 ```
 ## Консольный режим из исходников
 ```bash
 tg-ws-proxy [--port PORT] [--host HOST] [--dc-ip DC:IP ...] [-v]
 ```
 **Аргументы:**
 | Аргумент | По умолчанию | Описание |
 |---|---|---|
 | `--port` | `1443` | Порт прокси |
 | `--host` | `127.0.0.1` | Хост прокси |
 | `--secret` | `random` | 32-значный hex-ключ для авторизации клиентов |
 | `--dc-ip` | `2:149.154.167.220`, `4:149.154.167.220` | Целевой IP для DC (параметр можно указывать несколько раз) |
 | `--no-cfproxy` | `false` | Отключить попытку [проксирования через Cloudflare](./CfProxy.md) |
 | `--cfproxy-domain` | | Указать свой домен для проксирования через Cloudflare. [Подробнее](./CfProxy.md) |
 | `--cfproxy-worker-domain` | | Домен Cloudflare Worker [Подробнее](./CfWorker.md) |
 | `--fake-tls-domain` | | Включить маскировку Fake TLS (ee-secret) с указанным SNI-доменом |
 | `--proxy-protocol` | выкл. | Принимать HAProxy PROXY protocol v1 (для работы за nginx/haproxy с `proxy_protocol on`) |
 | `--buf-kb` | `256` | Размер буфера в КБ |
 | `--pool-size` | `4` | Количество заготовленных соединений на каждый DC |
 | `--log-file` | выкл. | Путь к файлу, в который будут сохраняться логи |
 | `--log-max-mb` | `5` | Максимальный размер файла логов в МБ (после этого начинается перезапись) |
 | `--log-backups` | `0` | Количество сохранений логов после перезаписи |
 | `-v`, `--verbose` | выкл. | Подробное логирование (DEBUG) |
 **Примеры:**
 ```bash
 # Стандартный запуск
 tg-ws-proxy
 # Другой порт и дополнительные DC
 tg-ws-proxy --port 9050 --dc-ip 1:149.154.175.205 --dc-ip 2:149.154.167.220
 # С подробным логированием
 tg-ws-proxy -v
 # Fake TLS маскировка (ee-secret)
 tg-ws-proxy --fake-tls-domain example.com
 ```
--- a/docs/CfProxy.md
+++ b/docs/CfProxy.md
@@ -1,18 +1,20 @@
-# Cloudflare Proxy
+# Cloudflare-прокси
-Для недоступных датацентров можно использовать альтернативный бесплатный метод подключения - проксирование через Cloudflare. **Для работы нужен только домен**. В приложении есть домен по умолчанию, но его можно (и лучше) заменить на свой.
+Для недоступных дата-центров можно использовать альтернативный бесплатный способ подключения — проксирование через Cloudflare. **Для работы нужен только домен**. В приложении есть домен по умолчанию, но его можно (и желательно) заменить на свой.
-Прокси возвращает доступ к тому, что до этого не грузило (реакциям, некоторым стикерам). Если у вас до этого не грузило видео/фото на аккаунте без премиума, то уберите всё кроме `4:149.154.167.220` из `DC->IP` блока в настройках. Если CF-прокси у вас работает - медиа снова начнёт грузиться.
+Прокси возвращает доступ к тому, что раньше не загружалось (реакции, некоторые стикеры). Если на аккаунте без Premium не загружаются фото/видео, оставьте в блоке `DC → IP` только `4:149.154.167.220`. Если CF-прокси работает, медиа снова начнет загружаться.
 ## Зачем мне настраивать свой домен?
-Cloudflare имеет лимиты на одновременное количество подключений WS. Домен по умолчанию может перестать работать в любой момент. 
+
 Cloudflare имеет лимиты на одновременное количество WS-подключений. Домен по умолчанию может перестать работать в любой момент.
 ## Настройка своего домена
 1. Добавьте свой домен в Cloudflare (либо купив у них напрямую, либо поменяв NS сервера: https://developers.cloudflare.com/dns/zone-setups/full-setup/setup/). Домены стоят +- 150 рублей на год, подойдёт любой.
-2. В `SSL/TLS` -> `Overview` выставьте режим **Flexible**
+1. Добавьте свой домен в Cloudflare (либо купив его напрямую у Cloudflare, либо изменив NS-серверы: https://developers.cloudflare.com/dns/zone-setups/full-setup/setup/). Домены стоят примерно 150 рублей в год, подойдёт любой.
-3. В `DNS` -> `Records` добавьте следующие `A` записи через `+ Add Record`:
+2. В `SSL/TLS` → `Overview` выставьте режим **Flexible**.
 3. В `DNS` → `Records` добавьте следующие `A`-записи через `+ Add Record`:
 - Name=`kws1`   IPv4=`149.154.175.50`
 - Name=`kws2`   IPv4=`149.154.167.51`
 - Name=`kws3`   IPv4=`149.154.175.100`
@@ -20,10 +22,11 @@ Cloudflare имеет лимиты на одновременное количе
 - Name=`kws5`   IPv4=`149.154.171.5`
 - Name=`kws203` IPv4=`91.105.192.100`
-4. **Добавьте домен в [zapret](https://github.com/Flowseal/zapret-discord-youtube/) или в любое другое ПО, так как подсеть Cloudflare забанена (по крайней мере, если вы из России)**
+4. **Добавьте домен в [zapret](https://github.com/Flowseal/zapret-discord-youtube/) или в любое другое ПО, так как подсеть Cloudflare может быть заблокирована (например, в России).**
-5. В настройках TgWsProxy поменяйте домен на свой
+5. В настройках `TgWsProxy` замените домен на свой.
-## Mentions
+## Благодарности
-Idea - https://github.com/Nekogram/WSProxy  
+
-Thanks to [@UjuiUjuMandan](https://github.com/UjuiUjuMandan) for the information
+- Идея: https://github.com/Nekogram/WSProxy
 - Спасибо [@UjuiUjuMandan](https://github.com/UjuiUjuMandan) за информацию.
--- a/docs/CfWorker.md
+++ b/docs/CfWorker.md
@@ -0,0 +1,124 @@
 # Cloudflare Worker
 Альтернативный (полностью бесплатный, не нужно покупать домен в отличии от [CfProxy](./CfProxy.md)) способ проксирования.
 Прокси возвращает доступ к тому, что раньше не загружалось (реакции, некоторые стикеры). Если на аккаунте без Premium с данным способом все еще не загружаются фото/видео, оставьте в блоке `DC → IP` только `4:149.154.167.220`
 ##
 1. **Добавьте в [zapret](https://github.com/Flowseal/zapret-discord-youtube/) или в любое другое ПО следующие домены:**
 ```
 cloudflare.com
 cloudflare.dev
 workers.dev
 ```
 2. Создайте аккаунт в [Cloudflare](https://dash.cloudflare.com/) (или войдите в существующий)
 	* **После создания аккаунта подтвердите почту с помощью письма, который вам пришел на email**
 3. Слева в панели выберите `Compute` → `Workers & Pages`  
   <img width="250" height="768" alt="image" src="https://github.com/user-attachments/assets/d81e3522-045a-4e65-9c2e-5545b7ad409a" />
 4. Нажмите сверху справа кнопку **`Create application`** → `Start with Hello World!` → `Deploy`  
   <img width="1406" height="193" alt="image" src="https://github.com/user-attachments/assets/7ac65944-8761-42a6-ab6d-ba5f9080c883" />  
   <img width="586" height="379" alt="image" src="https://github.com/user-attachments/assets/ff901439-c2a1-4867-95de-e11b82a37044" />  
   <img width="624" height="694" alt="image" src="https://github.com/user-attachments/assets/bb68d49a-166d-42a0-8fe2-bd2b16c0d066" />
 5. Сверху справа нажмите кнопку **`Edit code`**, замените код слева на тот, [что находится внизу этой страницы](./CfWorker.md#код-workerа)
    * Если у вас не загружается код, то вы не выполнили первый пункт  
    <img width="911" height="117" alt="image" src="https://github.com/user-attachments/assets/6bcdf839-d776-47e9-9d18-ba0efdf53244" />  
 	<img width="1027" height="512" alt="image" src="https://github.com/user-attachments/assets/daf131ed-82d5-40f0-a7eb-daeb598bea40" />
 6. Нажмите сверху справа кнопку **`Deploy`**  
   <img width="415" height="138" alt="image" src="https://github.com/user-attachments/assets/58d8f83e-d8b5-40cf-a30f-741d7311047b" />
 7. Скопируйте домен из поля справа и укажите его в настройках **Cloudflare Worker** (или через аргумент `--cfproxy-worker-domain`)
    * Пример домена: `random-symbols-1234.username.workers.dev`  
   <img width="414" height="182" alt="image" src="https://github.com/user-attachments/assets/4fb0b111-8026-4d17-b993-6c70ec37f1f5" />
 ### Код Worker'а
 ```javascript
 import { connect } from "cloudflare:sockets";
 function toBytes(data) {
 	if (data instanceof ArrayBuffer) {
 		return new Uint8Array(data);
 	}
 	if (typeof data === "string") {
 		return new TextEncoder().encode(data);
 	}
 	if (data && typeof data.arrayBuffer === "function") {
 		return data.arrayBuffer().then((ab) => new Uint8Array(ab));
 	}
 	return new Uint8Array();
 }
 export default {
 	async fetch(request) {
 		if ((request.headers.get("Upgrade") || "").toLowerCase() !== "websocket") {
 			return new Response("Expected websocket", { status: 426 });
 		}
 		const url = new URL(request.url);
 		if (url.pathname !== "/apiws") {
 			return new Response("Not found", { status: 404 });
 		}
 		const dst = url.searchParams.get("dst");
 		const pair = new WebSocketPair();
 		const client = pair[0];
 		const server = pair[1];
 		server.accept();
 		const socket = connect({ hostname: dst, port: 443 });
 		const tcpReader = socket.readable.getReader();
 		const tcpWriter = socket.writable.getWriter();
 		server.addEventListener("message", async (event) => {
 			try {
 				await tcpWriter.write(await toBytes(event.data));
 			} catch {
 				try {
 					server.close(1011, "tcp write failed");
 				} catch {}
 			}
 		});
 		server.addEventListener("close", async () => {
 			try {
 				await tcpWriter.close();
 			} catch {}
 			try {
 				socket.close();
 			} catch {}
 		});
 		(async () => {
 			try {
 				while (true) {
 					const { value, done } = await tcpReader.read();
 					if (done) {
 						break;
 					}
 					if (value) {
 						server.send(value);
 					}
 				}
 			} catch {
 			} finally {
 				try {
 					server.close();
 				} catch {}
 				try {
 					tcpReader.releaseLock();
 				} catch {}
 				try {
 					socket.close();
 				} catch {}
 			}
 		})();
 		return new Response(null, { status: 101, webSocket: client });
 	},
 };
 ```
--- a/docs/FakeTlsNginx.md
+++ b/docs/FakeTlsNginx.md
@@ -0,0 +1,52 @@
 # Fake TLS + upstream в nginx
 Домен в параметре `--fake-tls-domain` должен указывать на тот же IP, на котором запущен прокси.
 ## Пример `nginx.conf` для stream-модуля
 ```nginx
 upstream mtproto {
    server 127.0.0.1:8446;
 }
 map $ssl_preread_server_name $sni_name {
    hostnames;
    example.com mtproto;
    # if you have xray with selfsni running:
    # sub.example.com  www;
    # default xray;
 }
 # upstream xray {
 #     server 127.0.0.1:8443;
 # }
 #
 # upstream www {
 #     server 127.0.0.1:7443;
 # }
 server {
    proxy_protocol on;
    set_real_ip_from unix:;
    listen          443;
    proxy_pass      $sni_name;
    ssl_preread     on;
 }
 ```
 ## Запуск прокси за Nginx
 ```bash
 python3 proxy/tg_ws_proxy.py \
  --port 8446 \
  --host 127.0.0.1 \
  --fake-tls-domain example.com \
  --proxy-protocol \
  --secret <32-hex-chars>
 ```
 Ссылка для подключения будет в формате `ee`-секрета:
 ```text
 tg://proxy?server=your.domain.com&port=443&secret=ee<secret><domain_hex>
 ```
--- a/docs/Funding.md
+++ b/docs/Funding.md
@@ -0,0 +1,12 @@
 > [!TIP]
 >
 > ### 🎉 Поддержать меня
 >
 > **USDT (TRC20)**: `TXPnKs2Ww1RD8JN6nChFUVmi5r2hqrWjuu`  
 > **BTC**: `bc1qr8vd6jelkyyry3m4mq6z5txdx4pl856fu6ss0w`  
 > **ETH**: `0x1417878fdc5047E670a77748B34819b9A49C72F1`  
 > **Другие монеты**: https://nowpayments.io/donation/flowseal
 Проект полностью бесплатен для всех.  
 Однако его развитие и стабильная работа при росте числа пользователей требуют вложений.  
 Буду благодарен за любую форму поддержки! Спасибо ❤️
--- a/docs/README.docker.md
+++ b/docs/README.docker.md
@@ -0,0 +1,69 @@
 # TG WS Proxy для Docker
 ## Установка из исходников
 Вводите команды последовательно, одну за другой:
 ```bash
 # Скачиваем репозиторий
 git clone https://github.com/Flowseal/tg-ws-proxy.git
 # Переходим в папку с проектом
 cd tg-ws-proxy
 # Собираем образ
 docker build -t tg-ws-proxy .
 # Запускаем контейнер
 docker run -d \
  --name tg-ws-proxy \
  --restart=always \
  -p 1443:1443 \
  tg-ws-proxy:latest
 # Получаем ссылку для подключения
 docker logs tg-ws-proxy 2>&1 | grep 'tg://proxy'
 ```
 После выполнения последней команды вы увидите ссылку вида:
 ```text
 tg://proxy?server=172.17.0.2&port=1443&secret=dd68f127db1d...
 ```
 ## Настройка параметров
 Все настройки задаются переменными окружения при запуске контейнера:
 | Переменная            | Описание                                       | По умолчанию                         |
 |-----------------------|------------------------------------------------|--------------------------------------|
 | `TG_WS_PROXY_HOST`    | Адрес для приёма подключений                   | `0.0.0.0`                            |
 | `TG_WS_PROXY_PORT`    | Порт внутри контейнера                         | `1443`                               |
 | `TG_WS_PROXY_SECRET`  | Секретный ключ                                 | `random`                             |
 | `TG_WS_PROXY_DC_IPS`  | Пары «номер DC:IP» через пробел                | `2:149.154.167.220 4:149.154.167.220`|
 Пример с ручным указанием секрета:
 ```bash
 docker run -d \
  --name tg-ws-proxy \
  --restart=always \
  -p 1443:1443 \
  -e TG_WS_PROXY_SECRET="ваш_секрет" \
  tg-ws-proxy:latest
 ```
 Для генерации секрета можно использовать:
 ```bash
 openssl rand -hex 16  
 ```
 ## Настройка Telegram Desktop
 1. Telegram → **Настройки** → **Продвинутые настройки** → **Тип подключения** → **Прокси**
 2. Добавьте прокси:
   - **Тип:** MTProto
   - **Сервер:** `127.0.0.1` (или переопределенный вами)
   - **Порт:** `1443` (или переопределенный вами)
   - **Secret:** из настроек или логов
--- a/docs/README.linux.md
+++ b/docs/README.linux.md
@@ -0,0 +1,51 @@
 # TG WS Proxy для Linux
 ## Готовые сборки
 Для Debian/Ubuntu скачайте со [страницы релизов](https://github.com/Flowseal/tg-ws-proxy/releases) пакет `TgWsProxy_linux_amd64.deb`.
 Для Arch и основанных на Arch дистрибутивов подготовлены пакеты в AUR:
 - [tg-ws-proxy-bin](https://aur.archlinux.org/packages/tg-ws-proxy-bin)
 - [tg-ws-proxy-git](https://aur.archlinux.org/packages/tg-ws-proxy-git)
 - [tg-ws-proxy-cli](https://aur.archlinux.org/packages/tg-ws-proxy-cli)
 ```shell
 # Установка без AUR-helper
 git clone https://aur.archlinux.org/tg-ws-proxy-bin.git
 cd tg-ws-proxy-bin
 makepkg -si
 # При помощи AUR-helper
 paru -S tg-ws-proxy-bin
 # Для пакета -cli запуск через systemd (8888 — номер порта; secret можно сгенерировать командой openssl rand -hex 16)
 sudo systemctl start tg-ws-proxy@8888:3075abe65830f0325116bb0416cadf9f
 ```
 Для остальных дистрибутивов можно использовать `TgWsProxy_linux_amd64` (бинарный файл для x86_64).
 ```bash
 chmod +x TgWsProxy_linux_amd64
 ./TgWsProxy_linux_amd64
 ```
 При первом запуске откроется окно с инструкцией. Приложение работает в системном трее (требуется AppIndicator).
 ## Настройка Telegram Desktop
 1. Telegram → **Настройки** → **Продвинутые настройки** → **Тип подключения** → **Прокси**
 2. Добавьте прокси:
   - **Тип:** MTProto
   - **Сервер:** `127.0.0.1` (или переопределенный вами)
   - **Порт:** `1443` (или переопределенный вами)
   - **Secret:** из настроек или логов
 ## Установка из исходников
 Подробная инструкция: [BuildFromSource.md](./BuildFromSource.md)
 ```bash
 pip install -e .
 tg-ws-proxy-tray-linux
 ```
--- a/docs/README.macos.md
+++ b/docs/README.macos.md
@@ -0,0 +1,30 @@
 # TG WS Proxy для macOS
 Перейдите на [страницу релизов](https://github.com/Flowseal/tg-ws-proxy/releases) и скачайте `TgWsProxy_macos_universal.dmg` (универсальная сборка для Apple Silicon и Intel).
 1. Откройте образ
 2. Перенесите `TG WS Proxy.app` в папку `Applications`
 3. При первом запуске macOS может попросить подтвердить открытие: **Системные настройки → Конфиденциальность и безопасность → Всё равно открыть**
 Минимально поддерживаемые версии:
 - Intel macOS 10.15+
 - Apple Silicon macOS 11.0+
 ## Настройка Telegram Desktop
 1. Telegram → **Настройки** → **Продвинутые настройки** → **Тип подключения** → **Прокси**
 2. Добавьте прокси:
   - **Тип:** MTProto
   - **Сервер:** `127.0.0.1` (или переопределенный вами)
   - **Порт:** `1443` (или переопределенный вами)
   - **Secret:** из настроек или логов
 ## Установка из исходников
 Подробная инструкция: [BuildFromSource.md](./BuildFromSource.md)
 ```bash
 pip install -e .
 tg-ws-proxy-tray-macos
 ```
--- a/docs/README.md
+++ b/docs/README.md
@@ -1,6 +1,6 @@
 > [!TIP]
 >
-> ### 🎉 Поддержать меня
+> ### [🎉 Поддержать меня](./Funding.md)
 >
 > **USDT (TRC20)**: `TXPnKs2Ww1RD8JN6nChFUVmi5r2hqrWjuu`  
 > **BTC**: `bc1qr8vd6jelkyyry3m4mq6z5txdx4pl856fu6ss0w`  
@@ -11,19 +11,76 @@
 >
 > ### Реакция антивирусов
 >
-> Windows Defender часто ошибочно помечает приложение как **Wacatac**.  
+> Антивирусы часто ошибочно помечают приложение как вирус из-за упаковщика.  
-> Если вы не можете скачать из-за блокировки, то:
+> Если вы не можете скачать из-за блокировки антивирусом, то:
 >
-> 1) Попробуйте скачать версию win7 (она ничем не отличается в плане функционала)
+> 1) **Попробуйте скачать версию для Windows 7 (по функциональности она не отличается)**
 > 2) Отключите антивирус на время скачивания, добавьте файл в исключения и включите обратно  
 >
-> **Всегда проверяйте, что скачиваете из интернета, тем более из непроверенных источников. Всегда лучше смотреть на детекты широко известных антивирусов на VirusTotal**
+> Всегда проверяйте, что скачиваете из интернета, тем более из непроверенных источников. Всегда лучше смотреть на детекты широко известных антивирусов на VirusTotal
 # TG WS Proxy
-**Локальный MTProto-прокси** для Telegram Desktop, который **ускоряет работу Telegram**, перенаправляя трафик через WebSocket-соединения. Данные передаются в том же зашифрованном виде, а для работы не нужны сторонние сервера.
+**Локальный MTProto-прокси** для Telegram Desktop, который **ускоряет работу Telegram**, перенаправляя трафик через WebSocket-соединения. Данные передаются в том же зашифрованном виде, а для работы не нужны сторонние серверы.
-<img width="529" height="487" alt="image" src="https://github.com/user-attachments/assets/6a4cf683-0df8-43af-86c1-0e8f08682b62" />
+<picture>
  <source srcset="https://github.com/user-attachments/assets/17f1d15e-e1c2-41ea-a452-220d13359262" media="(prefers-color-scheme: dark)">
  <img src="https://github.com/user-attachments/assets/8d595468-83a1-4e4f-bac4-9ce4a07027bd">
 </picture>
 ## Навигация
 - **🚀 Быстрый старт**
  - **[Windows](./README.windows.md)**
  - **[macOS](./README.macos.md)**
  - **[Linux](./README.linux.md)**
  - **[Docker](./README.docker.md)**
 - [Настройка Cloudflare Worker'а (бесплатный аналог CF-прокси)](./CfWorker.md)
 - [Настройка Cloudflare-домена (CF-прокси)](./CfProxy.md)
 - [Fake TLS + upstream в Nginx](./FakeTlsNginx.md)
 - [Файлы конфигурации Tray-приложения](./TrayConfig.md)
 - [Установка из исходников](./BuildFromSource.md)
 - [Руководство для контрибьюторов](../CONTRIBUTING.md)
 ## Windows: быстрый вход
 Перейдите на [страницу релизов](https://github.com/Flowseal/tg-ws-proxy/releases) и скачайте:
 - `TgWsProxy_windows.exe` (Windows 10+)
 - `TgWsProxy_windows_7_64bit.exe` (Windows 7 x64)
 - `TgWsProxy_windows_7_32bit.exe` (Windows 7 x32)
 При первом запуске откроется окно с инструкцией по подключению Telegram Desktop. **Приложение сворачивается в системный трей.**
 ### Меню трея
 - **Открыть в Telegram** — автоматически настроить прокси через ссылку `tg://proxy`
 - **Скопировать ссылку** — скопировать ссылку для подключения
 - **Перезапустить прокси** — перезапуск без выхода из приложения
 - **Настройки...** — GUI-редактор конфигурации (версия приложения, опциональная проверка обновлений с GitHub)
 - **Открыть логи** — открыть файл логов
 - **Выход** — остановить прокси и закрыть приложение
 ### Настройка Telegram Desktop
 **Автоматическая настройка**
 Щелкните правой кнопкой мыши по значку в трее и выберите **«Открыть в Telegram»**.
 Если не сработало (Telegram не открылся с подключением), выполните шаги ниже:
 1. Щелкните правой кнопкой мыши по значку в трее и выберите **«Скопировать ссылку»**
 2. Отправьте ссылку в «Избранное» в Telegram и нажмите по ней левой кнопкой мыши
 3. Подключитесь
 **Ручная настройка**
 1. Telegram → **Настройки** → **Продвинутые настройки** → **Тип подключения** → **Прокси**
 2. Добавьте прокси:
   - **Тип:** MTProto
   - **Сервер:** `127.0.0.1` (или переопределенный вами)
   - **Порт:** `1443` (или переопределенный вами)
   - **Secret:** из настроек или логов
 ## Как это работает
@@ -34,253 +91,19 @@ Telegram Desktop → MTProto Proxy (127.0.0.1:1443) → WebSocket → Telegram D
 1. Приложение поднимает MTProto прокси на `127.0.0.1:1443`
 2. Перехватывает подключения к IP-адресам Telegram
 3. Извлекает DC ID из MTProto obfuscation init-пакета
-4. Устанавливает WebSocket (TLS) соединение к соответствующему DC через домены Telegram
+4. Устанавливает WebSocket-соединение (TLS) к соответствующему DC через домены Telegram
 5. Если WS недоступен (302 redirect) — автоматически переключается на CfProxy / прямое TCP-соединение
 > [!IMPORTANT] 
 > ### Не грузит фото/видео?
-> **Удалите в настройках прокси в DC->IP всё, кроме `4:149.154.167.220`**  
+> **Удалите в настройках прокси в DC → IP всё, кроме `4:149.154.167.220`**  
-> **Если не помогло, то удалите вообще всё из этого поля**  
+> **Если это не помогло, полностью очистите это поле**  
 > ####
 > Подобная проблема встречается на аккаунтах без Premium  
-> Если вам не помогло, то настраивайте свой домен по гайду отсюда: https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/CfProxy.md
+> Если это не помогло, настройте собственный домен по инструкции: [CfProxy.md](./CfProxy.md)
 ## 🚀 Быстрый старт
 ### Windows
 Перейдите на [страницу релизов](https://github.com/Flowseal/tg-ws-proxy/releases) и скачайте **`TgWsProxy_windows.exe`**. Он собирается автоматически через [Github Actions](https://github.com/Flowseal/tg-ws-proxy/actions) из открытого исходного кода.
 При первом запуске откроется окно с инструкцией по подключению Telegram Desktop. Приложение сворачивается в системный трей.
 **Меню трея:**
 - **Открыть в Telegram** — автоматически настроить прокси через `tg://proxy` ссылку
 - **Скопировать ссылку** — скопировать ссылку для подключения
 - **Перезапустить прокси** — перезапуск без выхода из приложения
 - **Настройки...** — GUI-редактор конфигурации (в т.ч. версия приложения, опциональная проверка обновлений с GitHub)
 - **Открыть логи** — открыть файл логов
 - **Выход** — остановить прокси и закрыть приложение
 При первом запуске после старта может появиться запрос об открытии страницы релиза, если на GitHub вышла новая версия (отключается в настройках).
 ### Настройка Telegram Desktop
 ### Автоматически:
 ПКМ по иконке в трее → **«Открыть в Telegram»**  
 Если не сработало (не открылся Telegram с подключением), то:
 1. ПКМ по иконке в трее → **«Скопировать ссылку»** 
 2. Отправьте ссылку себе в избранное в Telegram клиенте и нажмите по ней ЛКМ
 3. Подключитесь
 ### Вручную:
 1. Telegram → **Настройки** → **Продвинутые настройки** → **Тип подключения** → **Прокси**
 2. Добавить прокси:
   - **Тип:** MTProto
   - **Сервер:** `127.0.0.1` (или переопределенный вами)
   - **Порт:** `1443` (или переопределенный вами)
   - **Secret:** из настроек или логов
 ##
 ### macOS
 Перейдите на [страницу релизов](https://github.com/Flowseal/tg-ws-proxy/releases) и скачайте **`TgWsProxy_macos_universal.dmg`** — универсальная сборка для Apple Silicon и Intel.
 1. Открыть образ
 2. Перенести **TG WS Proxy.app** в папку **Applications**
 3. При первом запуске macOS может попросить подтвердить открытие: **Системные настройки → Конфиденциальность и безопасность → Всё равно открыть**
 ### Linux
 Для Debian/Ubuntu скачайте со [страницы релизов](https://github.com/Flowseal/tg-ws-proxy/releases) пакет **`TgWsProxy_linux_amd64.deb`**.
 Для Arch и Arch-Based дистрибутивов подготовлены пакеты в AUR: [tg-ws-proxy-bin](https://aur.archlinux.org/packages/tg-ws-proxy-bin), [tg-ws-proxy-git](https://aur.archlinux.org/packages/tg-ws-proxy-git), [tg-ws-proxy-cli](https://aur.archlinux.org/packages/tg-ws-proxy-cli)
 ```shell
 # Установка без AUR-helper
 git clone https://aur.archlinux.org/tg-ws-proxy-bin.git
 cd tg-ws-proxy-bin
 makepkg -si
 # При помощи AUR-helper
 paru -S tg-ws-proxy-bin
 # Если вы установили -cli пакет, то запуск осуществляется через systemctl, где 8888 это номер порта,
 # разделитель ":" и secret, который можно сгенерировать командой: openssl rand -hex 16
 sudo systemctl start tg-ws-proxy-cli@8888:3075abe65830f0325116bb0416cadf9f
 ```
 Для остальных дистрибутивов можно использовать **`TgWsProxy_linux_amd64`** (бинарный файл для x86_64).
 ```bash
 chmod +x TgWsProxy_linux_amd64
 ./TgWsProxy_linux_amd64
 ```
 При первом запуске откроется окно с инструкцией. Приложение работает в системном трее (требуется AppIndicator).
 ## Установка из исходников
 ### Консольный proxy
 Для запуска только proxy без tray-интерфейса достаточно базовой установки:
 ```bash
 pip install -e .
 tg-ws-proxy
 ```
 ### Windows 7/10+
 ```bash
 pip install -e .
 tg-ws-proxy-tray-win
 ```
 ### macOS
 ```bash
 pip install -e .
 tg-ws-proxy-tray-macos
 ```
 ### Linux
 ```bash
 pip install -e .
 tg-ws-proxy-tray-linux
 ```
 ### Консольный режим из исходников
 ```bash
 tg-ws-proxy [--port PORT] [--host HOST] [--dc-ip DC:IP ...] [-v]
 ```
 **Аргументы:**
 | Аргумент | По умолчанию | Описание |
 |---|---|---|
 | `--port` | `1443` | Порт прокси |
 | `--host` | `127.0.0.1` | Хост прокси |
 | `--secret` | `random` | 32 hex chars secret для авторизации клиентов |
 | `--dc-ip` | `2:149.154.167.220`, `4:149.154.167.220` | Целевой IP для DC (можно указать несколько раз) |
 | `--no-cfproxy` | `false` | Отключить попытку [проксирования через Cloudflare]((https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/CfProxy.md)) |
 | `--cfproxy-domain` | | Указать свой домен для проксирования через Cloudfalre. [Подробнее тут](https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/CfProxy.md) |
 | `--cfproxy-priority` | `true` | Пробовать проксировать через Cloudflare перед прямым TCP подключением |
 | `--fake-tls-domain` | | Включить Fake TLS (ee-secret) маскировку с указанным SNI-доменом |
 | `--proxy-protocol` | выкл. | Принимать HAProxy PROXY protocol v1 (для работы за nginx/haproxy с `proxy_protocol on`) |
 | `--buf-kb` | `256` | Размер буфера в КБ |
 | `--pool-size` | `4` | Количество заготовленных соединений на каждый DC |
 | `--log-file` | выкл. | Путь до файла, в который сохранять логи  |
 | `--log-max-mb` | `5` | Максимальный размер файла логов в МБ (после идёт перезапись) |
 | `--log-backups` | `0` | Количество сохранений логов после перезаписи |
 | `-v`, `--verbose` | выкл. | Подробное логирование (DEBUG) |
 **Примеры:**
 ```bash
 # Стандартный запуск
 tg-ws-proxy
 # Другой порт и дополнительные DC
 tg-ws-proxy --port 9050 --dc-ip 1:149.154.175.205 --dc-ip 2:149.154.167.220
 # С подробным логированием
 tg-ws-proxy -v
 # Fake TLS маскировка (ee-secret)
 tg-ws-proxy --fake-tls-domain example.com
 ```
 ## Fake TLS + nginx upstream
 ### Домен (`--fake-tls-domain`) должен указывать на тот же IP, на котором стоит прокси
 **Пример `nginx.conf` (stream):**
 ```nginx
 upstream mtproto {
    server 127.0.0.1:8446;
 }
 map $ssl_preread_server_name $sni_name {
    hostnames;
    example.com mtproto;
    # if you have xray with selfsni running:
    # sub.example.com  www;
    # default xray;
 }
 # upstream xray {
 #     server 127.0.0.1:8443;
 # }
 # 
 # upstream www {
 #     server 127.0.0.1:7443;
 # }
 server {
    proxy_protocol on;
    set_real_ip_from unix:;
    listen          443;
    proxy_pass      $sni_name;
    ssl_preread     on;
 }
 ```
 **Запуск прокси за nginx:**
 ```bash
 python3 proxy/tg_ws_proxy.py \
  --port 8446 \
  --host 127.0.0.1 \
  --fake-tls-domain example.com \
  --proxy-protocol \
  --secret <32-hex-chars>
 ```
 Ссылка для подключения будет в формате `ee`-секрета:</p>
 ```
 tg://proxy?server=your.domain.com&port=443&secret=ee<secret><domain_hex>
 ```
 ## Файлы конфигурации Tray-приложения
 Tray-приложение хранит данные в:
 - **Windows:** `%APPDATA%/TgWsProxy`
 - **macOS:** `~/Library/Application Support/TgWsProxy`
 - **Linux:** `~/.config/TgWsProxy` (или `$XDG_CONFIG_HOME/TgWsProxy`)
 ```json
 {
  "host": "127.0.0.1",
  "port": 1443,
  "secret": "...",
  "dc_ip": [
    "2:149.154.167.220",
    "4:149.154.167.220"
  ],
  "verbose": false,
  "buf_kb": 256,
  "pool_size": 4,
  "log_max_mb": 5.0,
  "check_updates": true,
  "cfproxy": true,
  "cfproxy_priority": true,
  "cfproxy_user_domain": "",
  "appearance": "auto"
 }
 ```
 Ключ **`check_updates`** — при `true` при запросе к GitHub сравнивается версия с последним релизом (только уведомление и ссылка на страницу загрузки). На Windows в конфиге может быть **`autostart`** (автозапуск при входе в систему).
 ## Автоматическая сборка
-Проект содержит спецификации PyInstaller ([`packaging/windows.spec`](packaging/windows.spec), [`packaging/macos.spec`](packaging/macos.spec), [`packaging/linux.spec`](packaging/linux.spec)) и GitHub Actions workflow ([`.github/workflows/build.yml`](.github/workflows/build.yml)) для автоматической сборки.
+Проект содержит спецификации PyInstaller ([`packaging/windows.spec`](../packaging/windows.spec), [`packaging/macos.spec`](../packaging/macos.spec), [`packaging/linux.spec`](../packaging/linux.spec)) и GitHub Actions workflow ([`.github/workflows/build.yml`](../.github/workflows/build.yml)) для автоматической сборки.
 Минимально поддерживаемые версии ОС для текущих бинарных сборок:
@@ -291,6 +114,14 @@ Tray-приложение хранит данные в:
 - Apple Silicon macOS 11.0+
 - Linux x86_64 (требуется AppIndicator для системного трея)
 ## Контрибьюторы
 Спасибо всем, кто помогает развивать проект ❤️
 <a href="https://github.com/Flowseal/tg-ws-proxy/graphs/contributors">
  <img src="https://contrib.rocks/image?repo=Flowseal/tg-ws-proxy" />
 </a>
 ## Лицензия
-[MIT License](LICENSE)
+[MIT License](../LICENSE)
--- a/docs/README.windows.md
+++ b/docs/README.windows.md
@@ -0,0 +1,52 @@
 # TG WS Proxy для Windows
 Перейдите на [страницу релизов](https://github.com/Flowseal/tg-ws-proxy/releases) и скачайте:
 - `TgWsProxy_windows.exe` (Windows 10+)
 - `TgWsProxy_windows_7_64bit.exe` (Windows 7 x64)
 - `TgWsProxy_windows_7_32bit.exe` (Windows 7 x32)
 Сборки публикуются автоматически через [GitHub Actions](https://github.com/Flowseal/tg-ws-proxy/actions) из открытого исходного кода.
 При первом запуске откроется окно с инструкцией по подключению Telegram Desktop. **Приложение сворачивается в системный трей.**
 ## Меню трея
 - **Открыть в Telegram** — автоматически настроить прокси через ссылку `tg://proxy`
 - **Скопировать ссылку** — скопировать ссылку для подключения
 - **Перезапустить прокси** — перезапуск без выхода из приложения
 - **Настройки...** — GUI-редактор конфигурации (версия приложения, опциональная проверка обновлений с GitHub)
 - **Открыть логи** — открыть файл логов
 - **Выход** — остановить прокси и закрыть приложение
 При первом запуске после старта может появиться запрос об открытии страницы релиза, если на GitHub вышла новая версия (эту проверку можно отключить в настройках).
 ## Настройка Telegram Desktop
 ### Автоматическая настройка
 Щелкните правой кнопкой мыши по значку в трее и выберите **«Открыть в Telegram»**.
 Если не сработало (Telegram не открылся с подключением), выполните шаги ниже:
 1. Щелкните правой кнопкой мыши по значку в трее и выберите **«Скопировать ссылку»**
 2. Отправьте ссылку в «Избранное» в Telegram и нажмите по ней левой кнопкой мыши
 3. Подключитесь
 ### Ручная настройка
 1. Telegram → **Настройки** → **Продвинутые настройки** → **Тип подключения** → **Прокси**
 2. Добавьте прокси:
   - **Тип:** MTProto
   - **Сервер:** `127.0.0.1` (или переопределенный вами)
   - **Порт:** `1443` (или переопределенный вами)
   - **Secret:** из настроек или логов
 ## Установка из исходников
 Подробная инструкция: [BuildFromSource.md](./BuildFromSource.md)
 ```bash
 pip install -e .
 tg-ws-proxy-tray-win
 ```
--- a/docs/TrayConfig.md
+++ b/docs/TrayConfig.md
@@ -0,0 +1,31 @@
 # Файлы конфигурации Tray-приложения
 Tray-приложение хранит данные в:
 - **Windows:** `%APPDATA%/TgWsProxy`
 - **macOS:** `~/Library/Application Support/TgWsProxy`
 - **Linux:** `~/.config/TgWsProxy` (или `$XDG_CONFIG_HOME/TgWsProxy`)
 ```json
 {
  "host": "127.0.0.1",
  "port": 1443,
  "secret": "...",
  "dc_ip": [
    "2:149.154.167.220",
    "4:149.154.167.220"
  ],
  "verbose": false,
  "buf_kb": 256,
  "pool_size": 4,
  "log_max_mb": 5.0,
  "check_updates": true,
  "cfproxy": true,
  "cfproxy_user_domain": "",
  "cfproxy_worker_domain": "",
  "appearance": "auto"
 }
 ```
 Ключ `check_updates`: при `true` выполняется запрос к GitHub и сравнение текущей версии с последним релизом (только уведомление и ссылка на страницу загрузки).  
 На Windows в конфиге может быть `autostart` (автозапуск при входе в систему).
--- a/linux.py
+++ b/linux.py
@@ -156,21 +156,40 @@ def _edit_config_dialog() -> None:
        scroll, footer = tray_settings_scroll_and_footer(ctk, frame, theme)
        widgets = install_tray_config_form(ctk, scroll, theme, cfg, DEFAULT_CONFIG, show_autostart=False)
        _original_appearance = ctk.get_appearance_mode()
        def _finish() -> None:
            root.destroy()
            done.set()
        def _cancel() -> None:
            ctk.set_appearance_mode(_original_appearance)
            _finish()
        def on_save() -> None:
            from tkinter import messagebox
            merged = validate_config_form(widgets, DEFAULT_CONFIG, include_autostart=False)
            if isinstance(merged, str):
                messagebox.showerror("TG WS Proxy — Ошибка", merged, parent=root)
                return
            _ui_only_keys = {"appearance", "check_updates"}
            config_changed = any(merged.get(k) != cfg.get(k) for k in merged)
            proxy_changed = any(merged.get(k) != cfg.get(k) for k in merged if k not in _ui_only_keys)
            if not config_changed:
                _finish()
                return
            save_config(merged)
            _config.update(merged)
            log.info("Config saved: %s", merged)
            _tray_icon.menu = _build_menu()
            if not proxy_changed:
                _finish()
                return
            do_restart = messagebox.askyesno(
                "Перезапустить?",
                "Настройки сохранены.\n\nПерезапустить прокси сейчас?",
@@ -180,8 +199,8 @@ def _edit_config_dialog() -> None:
            if do_restart:
                threading.Thread(target=lambda: restart_proxy(_config, _show_error), daemon=True).start()
-        root.protocol("WM_DELETE_WINDOW", _finish)
+        root.protocol("WM_DELETE_WINDOW", _cancel)
-        install_tray_config_buttons(ctk, footer, theme, on_save=on_save, on_cancel=_finish)
+        install_tray_config_buttons(ctk, footer, theme, on_save=on_save, on_cancel=_cancel)
    ctk_run_dialog(_build)
@@ -273,7 +292,7 @@ def run_tray() -> None:
 def main() -> None:
-    if not acquire_lock("linux.py"):
+    if not acquire_lock():
        _show_info("Приложение уже запущено.", os.path.basename(sys.argv[0]))
        return
    try:
--- a/macos.py
+++ b/macos.py
@@ -41,6 +41,8 @@ _app: Optional[object] = None
 _config: dict = {}
 _exiting: bool = False
 _CFWORKER_HELP_URL = "https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/CfWorker.md"
 # osascript dialogs
@@ -109,6 +111,32 @@ def _osascript_input(prompt: str, default: str, title: str = "TG WS Proxy") -> O
    return r.stdout.rstrip("\r\n")
 def _ask_cfworker_domain(default: str) -> Optional[str]:
    value = default
    while True:
        script = (
            f'set d to display dialog "{_esc("Cloudflare Worker домен (например, name.account.workers.dev):")}" '
            f'default answer "{_esc(value)}" '
            f'with title "TG WS Proxy" '
            f'buttons {{"Закрыть", "?", "OK"}} '
            f'default button "OK" cancel button "Закрыть"\n'
            f'return (button returned of d) & "\\n" & (text returned of d)'
        )
        r = subprocess.run(["osascript", "-e", script], capture_output=True, text=True)
        if r.returncode != 0:
            return None
        out_lines = r.stdout.splitlines()
        button = out_lines[0].strip() if out_lines else ""
        value = out_lines[1].strip() if len(out_lines) > 1 else value
        if button == "?":
            webbrowser.open(_CFWORKER_HELP_URL)
            continue
        if button == "OK":
            return value.strip()
 # menubar icon
@@ -309,7 +337,7 @@ def _maybe_notify_update_async() -> None:
            ):
                webbrowser.open(url)
        except Exception as exc:
-            log.debug("Update check failed: %s", exc)
+            log.warning("Update check failed: %s", exc)
    threading.Thread(target=_work, daemon=True, name="update-check").start()
@@ -396,13 +424,6 @@ def _edit_config_dialog() -> None:
    if cfproxy is None:
        return
    cfproxy_priority = True
    if cfproxy:
        cfproxy_priority_result = _ask_yes_no_close("Приоритет CfProxy (пробовать раньше прямого TCP)?")
        if cfproxy_priority_result is None:
            return
        cfproxy_priority = cfproxy_priority_result
    cfproxy_domain = _osascript_input(
        "Свой CF-домен (оставьте пустым для автоматического выбора):\n"
        "DNS записи kws1-kws5,kws203 должны указывать на IP датацентров Telegram через Cloudflare.",
@@ -412,6 +433,12 @@ def _edit_config_dialog() -> None:
        return
    cfproxy_domain = cfproxy_domain.strip()
    cfworker_domain = _ask_cfworker_domain(
        cfg.get("cfproxy_worker_domain", DEFAULT_CONFIG.get("cfproxy_worker_domain", ""))
    )
    if cfworker_domain is None:
        return
    new_cfg = {
        "host": host,
        "port": port,
@@ -423,8 +450,8 @@ def _edit_config_dialog() -> None:
        "log_max_mb": adv.get("log_max_mb", cfg.get("log_max_mb", DEFAULT_CONFIG["log_max_mb"])),
        "check_updates": cfg.get("check_updates", True),
        "cfproxy": cfproxy,
        "cfproxy_priority": cfproxy_priority,
        "cfproxy_user_domain": cfproxy_domain,
        "cfproxy_worker_domain": cfworker_domain,
    }
    save_config(new_cfg)
    log.info("Config saved: %s", new_cfg)
@@ -610,7 +637,7 @@ def run_menubar() -> None:
 def main() -> None:
-    if not acquire_lock("macos.py"):
+    if not acquire_lock():
        _show_info("Приложение уже запущено.")
        return
    try:
--- a/packaging/version_info.txt
+++ b/packaging/version_info.txt
@@ -4,8 +4,8 @@
 # http://msdn.microsoft.com/en-us/library/ms646997.aspx
 VSVersionInfo(
  ffi=FixedFileInfo(
-    filevers=(1, 0, 0, 0),
+    filevers=(1, 7, 0, 0),
-    prodvers=(1, 0, 0, 0),
+    prodvers=(1, 7, 0, 0),
    mask=0x3f,
    flags=0x0,
    OS=0x40004,
@@ -21,12 +21,12 @@ VSVersionInfo(
          [
            StringStruct(u'CompanyName', u'Flowseal'),
            StringStruct(u'FileDescription', u'Telegram Desktop WebSocket Bridge Proxy'),
-            StringStruct(u'FileVersion', u'1.0.0.0'),
+            StringStruct(u'FileVersion', u'1.7.0.0'),
            StringStruct(u'InternalName', u'TgWsProxy'),
            StringStruct(u'LegalCopyright', u'Copyright (c) Flowseal. MIT License.'),
            StringStruct(u'OriginalFilename', u'TgWsProxy.exe'),
            StringStruct(u'ProductName', u'TG WS Proxy'),
-            StringStruct(u'ProductVersion', u'1.0.0.0'),
+            StringStruct(u'ProductVersion', u'1.7.0.0'),
          ]
        )
      ]
--- a/proxy/init.py
+++ b/proxy/init.py
@@ -1,6 +1,6 @@
 from .config import parse_dc_ip_list, proxy_config
-from .utils import get_link_host
+from .utils import get_link_host, build_github_opener
-__version__ = "1.6.1"
+__version__ = "1.7.0"
-__all__ = ["__version__", "get_link_host", "proxy_config", "parse_dc_ip_list"]
+__all__ = ["__version__", "get_link_host", "proxy_config", "parse_dc_ip_list", "build_github_opener"]
--- a/proxy/balancer.py
+++ b/proxy/balancer.py
@@ -0,0 +1,43 @@
 import random
 from collections import Counter
 from typing import Dict, List, Iterator 
 class _Balancer:
    def __init__(self):
        self.domains: List[str] = []
        self._dc_to_domain: Dict[int, str] = {}
    def update_domains_list(self, domains_list: List[str]) -> None:
        if Counter(self.domains) == Counter(domains_list):
            return
        self.domains = domains_list[:]
        self._dc_to_domain = {
            dc_id: random.choice(self.domains)
            for dc_id in (1, 2, 3, 4, 5, 203)
        }
    def update_domain_for_dc(self, dc_id: int, domain: str) -> bool:
        if self._dc_to_domain.get(dc_id) == domain:
            return False
        self._dc_to_domain[dc_id] = domain
        return True
    def get_domains_for_dc(self, dc_id: int) -> Iterator[str]:
        current_domain = self._dc_to_domain.get(dc_id)
        if current_domain is not None:
            yield current_domain
        shuffled_domains = self.domains[:]
        random.shuffle(shuffled_domains)
        for domain in shuffled_domains:
            if domain != current_domain:
                yield domain
 balancer = _Balancer()
--- a/proxy/bridge.py
+++ b/proxy/bridge.py
@@ -4,9 +4,11 @@ import struct
 from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
 from typing import Dict, List, Optional
 from urllib.parse import urlencode
 from .utils import *
 from .stats import stats
 from .balancer import balancer
 from .config import proxy_config
 from .raw_websocket import RawWebSocket
@@ -126,23 +128,34 @@ class MsgSplitter:
 async def do_fallback(reader, writer, relay_init, label,
-                       dc, is_media, media_tag,
+                       dc: int, is_media: bool, media_tag: str,
                       ctx: CryptoCtx, splitter=None):
    fallback_dst = DC_DEFAULT_IPS.get(dc)
    use_cf = proxy_config.fallback_cfproxy
-    cf_first = proxy_config.fallback_cfproxy_priority
+    worker_domain = proxy_config.cfproxy_worker_domain
-    methods: List[str] = ['tcp']
+    methods: List[str] = []
    if worker_domain and fallback_dst:
        methods.append('cf_worker')
    if use_cf:
-        methods.insert(0 if cf_first else 1, 'cf')
+        methods.append('cf')
    if fallback_dst:
        methods.append('tcp')
    for method in methods:
-        if method == 'cf':
+        if method == 'cf_worker' and fallback_dst:
            ok = await _cfproxy_worker_fallback(
                reader, writer, relay_init, label, ctx,
                dc=dc, is_media=is_media, fallback_dst=fallback_dst,
                splitter=splitter)
            if ok:
                return True
        elif method == 'cf':
            ok = await _cfproxy_fallback(
-                reader, writer, relay_init, label,
+                reader, writer, relay_init, label, ctx,
                dc=dc, is_media=is_media,
-                ctx=ctx, splitter=splitter)
+                splitter=splitter)
            if ok:
                return True
        elif method == 'tcp' and fallback_dst:
@@ -150,27 +163,60 @@ async def do_fallback(reader, writer, relay_init, label,
                     label, dc, media_tag, fallback_dst)
            ok = await _tcp_fallback(
                reader, writer, fallback_dst, 443,
-                relay_init, label, dc=dc, is_media=is_media, ctx=ctx)
+                relay_init, label, ctx)
            if ok:
                return True
    return False
-async def _cfproxy_fallback(reader, writer, relay_init, label,
+async def _cfproxy_worker_fallback(reader, writer, relay_init, label,
-                            dc=None, is_media=False,
+                                   ctx: CryptoCtx,
-                            ctx: CryptoCtx = None, splitter=None):
+                                   dc: int, is_media: bool,
                                   fallback_dst: str,
                                   splitter=None):
    media_tag = ' media' if is_media else ''
    worker_domain = proxy_config.cfproxy_worker_domain
    if not worker_domain:
        return False
-    active = proxy_config.active_cfproxy_domain
+    query = urlencode({
-    others = [d for d in proxy_config.cfproxy_domains if d != active]
+        'dst': fallback_dst,
        'dc': str(dc),
        'media': '1' if is_media else '0',
    })
    path = f'/apiws?{query}'
    log.info("[%s] DC%d%s -> trying CF worker for %s",
             label, dc, media_tag, fallback_dst)
    try:
        ws = await RawWebSocket.connect(worker_domain, worker_domain,
                                        timeout=10.0, path=path)
    except Exception as exc:
        log.warning("[%s] DC%d%s CF worker failed: %s",
                    label, dc, media_tag, repr(exc))
        return False
    stats.connections_cfproxy += 1
    await ws.send(relay_init)
    await bridge_ws_reencrypt(reader, writer, ws, label, ctx,
                               dc=dc, is_media=is_media,
                               splitter=splitter)
    return True
 async def _cfproxy_fallback(reader, writer, relay_init, label,
                            ctx: CryptoCtx,
                            dc: int, is_media: bool,
                            splitter=None):
    media_tag = ' media' if is_media else ''
    ws = None
    chosen_domain = None
    log.info("[%s] DC%d%s -> trying CF proxy",
            label, dc, media_tag)
-    for base_domain in ([active] + others):
+    for base_domain in balancer.get_domains_for_dc(dc):
        domain = f'kws{dc}.{base_domain}'
        try:
            ws = await RawWebSocket.connect(domain, domain, timeout=10.0)
@@ -178,45 +224,42 @@ async def _cfproxy_fallback(reader, writer, relay_init, label,
            break
        except Exception as exc:
            log.warning("[%s] DC%d%s CF proxy failed: %s",
-                        label, dc, media_tag, exc)
+                        label, dc, media_tag, repr(exc))
    if ws is None:
        return False
-    if chosen_domain and chosen_domain != proxy_config.active_cfproxy_domain:
+    if chosen_domain and balancer.update_domain_for_dc(dc, chosen_domain):
-        log.info("[%s] Switching active CF domain", label)
+        log.info("[%s] Switched active CF domain", label)
        proxy_config.active_cfproxy_domain = chosen_domain
    stats.connections_cfproxy += 1
    await ws.send(relay_init)
-    await bridge_ws_reencrypt(reader, writer, ws, label,
+    await bridge_ws_reencrypt(reader, writer, ws, label, ctx,
                               dc=dc, is_media=is_media,
-                               ctx=ctx, splitter=splitter)
+                               splitter=splitter)
    return True
-async def _tcp_fallback(reader, writer, dst, port, relay_init, label,
+async def _tcp_fallback(reader, writer, dst, port, relay_init, label, ctx: CryptoCtx):
                        dc=None, is_media=False, ctx: CryptoCtx = None):
    try:
        rr, rw = await asyncio.wait_for(
            asyncio.open_connection(dst, port), timeout=10)
    except Exception as exc:
        log.warning("[%s] TCP fallback to %s:%d failed: %s",
-                    label, dst, port, exc)
+                    label, dst, port, repr(exc))
        return False
    stats.connections_tcp_fallback += 1
    rw.write(relay_init)
    await rw.drain()
-    await _bridge_tcp_reencrypt(reader, writer, rr, rw, label,
+    await _bridge_tcp_reencrypt(reader, writer, rr, rw, label, ctx)
                                dc=dc, is_media=is_media, ctx=ctx)
    return True
 async def bridge_ws_reencrypt(reader, writer, ws: RawWebSocket, label,
                               ctx: CryptoCtx,
                               dc=None, is_media=False,
-                               ctx: CryptoCtx = None,
+                               splitter: Optional[MsgSplitter] = None):
                               splitter: MsgSplitter = None):
    """
    Bidirectional TCP(client) <-> WS(telegram) with re-encryption.
    client ciphertext → decrypt(clt_key) → encrypt(tg_key) → WS
@@ -313,8 +356,7 @@ async def bridge_ws_reencrypt(reader, writer, ws: RawWebSocket, label,
 async def _bridge_tcp_reencrypt(reader, writer, remote_reader, remote_writer,
-                                label, dc=None, is_media=False,
+                                label, ctx: CryptoCtx):
                                ctx: CryptoCtx = None):
    """Bidirectional TCP <-> TCP with re-encryption."""
    async def forward(src, dst_w, is_up):
--- a/proxy/config.py
+++ b/proxy/config.py
@@ -7,7 +7,10 @@ import threading
 from dataclasses import dataclass, field
 from typing import Dict, List
-from urllib.request import Request, urlopen
+from urllib.request import Request
 from .balancer import balancer
 from .utils import build_github_opener
 log = logging.getLogger('tg-mtproto-proxy')
@@ -16,7 +19,18 @@ CFPROXY_DOMAINS_URL = (
    "/.github/cfproxy-domains.txt"
 )
-_CFPROXY_ENC: List[str] = ['virkgj.com', 'vmmzovy.com', 'mkuosckvso.com', 'zaewayzmplad.com', 'twdmbzcm.com']
+_CFPROXY_ENC: List[str] = [
    'virkgj.com', 
    'vmmzovy.com', 
    'mkuosckvso.com', 
    'zaewayzmplad.com', 
    'twdmbzcm.com',
    'awzwsldi.com',
    'clngqrflngqin.com',
    'tjacxbqtj.com',
    'bxaxtxmrw.com',
    'dmohrsgmohcrwb.com'
 ]
 _S = ''.join(chr(c) for c in (46, 99, 111, 46, 117, 107))
@@ -32,6 +46,7 @@ def _dd(s: str) -> str:
 CFPROXY_DEFAULT_DOMAINS: List[str] = [_dd(d) for d in _CFPROXY_ENC]
 _CFPROXY_MIN_VALID_DOMAINS = 3
@dataclass
@@ -43,10 +58,8 @@ class ProxyConfig:
    buffer_size: int = 256 * 1024
    pool_size: int = 4
    fallback_cfproxy: bool = True
    fallback_cfproxy_priority: bool = True
    cfproxy_user_domain: str = ''
-    cfproxy_domains: List[str] = field(default_factory=lambda: list(CFPROXY_DEFAULT_DOMAINS))
+    cfproxy_worker_domain: str = ''
    active_cfproxy_domain: str = field(default_factory=lambda: random.choice(CFPROXY_DEFAULT_DOMAINS))
    fake_tls_domain: str = ''
    proxy_protocol: bool = False
@@ -58,7 +71,7 @@ def _fetch_cfproxy_domain_list() -> List[str]:
    try:
        req = Request(CFPROXY_DOMAINS_URL + "?" + "".join(random.choices(string.ascii_letters, k=7)),
                       headers={'User-Agent': 'tg-ws-proxy'})
-        with urlopen(req, timeout=10) as resp:
+        with build_github_opener().open(req, timeout=10) as resp:
            text = resp.read().decode('utf-8', errors='replace')
        encoded = [
            line.strip() for line in text.splitlines()
@@ -66,25 +79,68 @@ def _fetch_cfproxy_domain_list() -> List[str]:
        ]
        return [_dd(d) for d in encoded]
    except Exception as exc:
-        log.warning("Failed to fetch CF proxy domain list: %s", exc)
+        log.warning("Failed to fetch CF proxy domain list: %s", repr(exc))
        return []
 def _is_valid_domain(domain: str) -> bool:
    if not domain or len(domain) > 253:
        return False
    if domain.startswith('.') or domain.endswith('.'):
        return False
    labels = domain.split('.')
    if len(labels) < 2:
        return False
    for label in labels:
        if not label or len(label) > 63:
            return False
        if label[0] == '-' or label[-1] == '-':
            return False
        if not all(ch.isalnum() or ch == '-' for ch in label):
            return False
    # TLD should contain letters and be at least 2 chars.
    tld = labels[-1]
    if len(tld) < 2 or not any(ch.isalpha() for ch in tld):
        return False
    return True
 def _normalize_domain_pool(domains: List[str]) -> List[str]:
    seen = set()
    normalized: List[str] = []
    for domain in domains:
        item = domain.strip().lower()
        if not _is_valid_domain(item):
            continue
        if item in seen:
            continue
        seen.add(item)
        normalized.append(item)
    return normalized
 def refresh_cfproxy_domains() -> None:
    if proxy_config.cfproxy_user_domain:
        return
    fetched = _fetch_cfproxy_domain_list()
    pool = _normalize_domain_pool(fetched)
    if len(pool) >= _CFPROXY_MIN_VALID_DOMAINS:
        balancer.update_domains_list(pool)
        log.info("CF proxy domain pool updated from GitHub (%d domains)", len(pool))
        return
    if fetched:
-        seen = set()
+        log.warning(
-        pool = [d for d in fetched if not (d in seen or seen.add(d))]
+            "Ignoring fetched CF proxy domains due to low-quality payload "
-        log.info("CF proxy domain pool updated from GitHub (%d domains)", len(pool))
+            "(total=%d, valid=%d, required>=%d); keeping current domain pool",
            len(fetched), len(pool), _CFPROXY_MIN_VALID_DOMAINS,
        )
    else:
-        pool = list(proxy_config.cfproxy_domains) or list(CFPROXY_DEFAULT_DOMAINS)
+        log.warning(
-
+            "CF proxy domain refresh failed or empty response; "
-    proxy_config.cfproxy_domains = pool
+            "keeping current domain pool",
-    proxy_config.active_cfproxy_domain = random.choice(pool)
+        )
 _refresh_stop: threading.Event = threading.Event()
@@ -96,6 +152,8 @@ def start_cfproxy_domain_refresh() -> None:
    _refresh_stop = threading.Event()
    stop = _refresh_stop
    balancer.update_domains_list(CFPROXY_DEFAULT_DOMAINS)
    def _loop():
        refresh_cfproxy_domains()
        while not stop.wait(timeout=3600):
--- a/proxy/fake_tls.py
+++ b/proxy/fake_tls.py
@@ -213,8 +213,8 @@ async def proxy_to_masking_domain(reader, writer, initial_data: bytes,
        up_reader, up_writer = await asyncio.wait_for(
            asyncio.open_connection(domain, 443), timeout=10)
    except Exception as exc:
-        log.debug("[%s] masking: cannot connect to %s:443: %s",
+        log.warning("[%s] masking: cannot connect to %s:443: %s",
-                  label, domain, exc)
+                  label, domain, repr(exc))
        return
    log.debug("[%s] masking -> %s:443", label, domain)
--- a/proxy/raw_websocket.py
+++ b/proxy/raw_websocket.py
@@ -25,7 +25,7 @@ _ssl_ctx.verify_mode = ssl.CERT_NONE
 class WsHandshakeError(Exception):
    def __init__(self, status_code: int, status_line: str,
-                 headers: dict = None, location: str = None):
+                 headers: Optional[dict] = None, location: Optional[str] = None):
        self.status_code = status_code
        self.status_line = status_line
        self.headers = headers or {}
@@ -78,7 +78,8 @@ class RawWebSocket:
        self._closed = False
    @staticmethod
-    async def connect(host: str, domain: str, timeout: float = 10.0) -> 'RawWebSocket':
+    async def connect(host: str, domain: str, timeout: float = 10.0,
                      path: str = '/apiws') -> 'RawWebSocket':
        reader, writer = await asyncio.wait_for(
            asyncio.open_connection(host, 443, ssl=_ssl_ctx,
                                    server_hostname=domain),
@@ -89,16 +90,13 @@ class RawWebSocket:
        ws_key = base64.b64encode(os.urandom(16)).decode()
        req = (
-            f'GET /apiws HTTP/1.1\r\n'
+            f'GET {path} HTTP/1.1\r\n'
            f'Host: {domain}\r\n'
            f'Upgrade: websocket\r\n'
            f'Connection: Upgrade\r\n'
            f'Sec-WebSocket-Key: {ws_key}\r\n'
            f'Sec-WebSocket-Version: 13\r\n'
            f'Sec-WebSocket-Protocol: binary\r\n'
            f'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) '
            f'AppleWebKit/537.36 (KHTML, like Gecko) '
            f'Chrome/131.0.0.0 Safari/537.36\r\n'
            f'\r\n'
        )
        writer.write(req.encode())
--- a/proxy/tg_ws_proxy.py
+++ b/proxy/tg_ws_proxy.py
@@ -4,7 +4,6 @@ import os
 import sys
 import time
 import struct
 import random
 import asyncio
 import hashlib
 import argparse
@@ -25,18 +24,19 @@ if __name__ == '__main__' and (__package__ is None or __package__ == ''):
 from .utils import *
 from .stats import stats
-from .config import proxy_config, parse_dc_ip_list, start_cfproxy_domain_refresh, CFPROXY_DEFAULT_DOMAINS
+from .config import proxy_config, parse_dc_ip_list, start_cfproxy_domain_refresh
 from .bridge import MsgSplitter, CryptoCtx, do_fallback, bridge_ws_reencrypt
 from .raw_websocket import RawWebSocket, WsHandshakeError, set_sock_opts
 from .fake_tls import proxy_to_masking_domain, verify_client_hello, build_server_hello, FakeTlsStream, TLS_RECORD_HANDSHAKE
 from .balancer import balancer
 log = logging.getLogger('tg-mtproto-proxy')
 DC_FAIL_COOLDOWN = 30.0
 WS_FAIL_TIMEOUT = 2.0
-ws_blacklist: Set[Tuple[int, bool]] = set()
+ws_blacklist: Set[str] = set()
-dc_fail_until: Dict[Tuple[int, bool], float] = {}
+dc_fail_until: Dict[str, float] = {}
 def _try_handshake(handshake: bytes, secret: bytes) -> Optional[Tuple[int, bool, bytes, bytes]]:
@@ -191,7 +191,7 @@ class _WsPool:
        except Exception:
            pass
-    async def warmup(self, dc_redirects: Dict[int, Optional[str]]):
+    async def warmup(self, dc_redirects: Dict[int, str]):
        for dc, target_ip in dc_redirects.items():
            if target_ip is None:
                continue
@@ -207,6 +207,146 @@ class _WsPool:
 _ws_pool = _WsPool()
 async def _read_client_init(reader, writer, secret, label, masking):
    if proxy_config.proxy_protocol:
        try:
            pp_line = await asyncio.wait_for(
                reader.readline(), timeout=10)
        except asyncio.IncompleteReadError:
            log.debug("[%s] disconnected during PROXY header", label)
            return None
        pp_text = pp_line.decode('ascii', errors='replace').strip()
        if pp_text.startswith('PROXY '):
            parts = pp_text.split()
            if len(parts) >= 6:
                label = f"{parts[2]}:{parts[4]}"
            log.debug("[%s] PROXY protocol: %s", label, pp_text)
        else:
            log.debug("[%s] expected PROXY header, got: %r", label,
                      pp_text[:60])
    try:
        first_byte = await asyncio.wait_for(
            reader.readexactly(1), timeout=10)
    except asyncio.IncompleteReadError:
        log.debug("[%s] client disconnected before handshake", label)
        return None
    if first_byte[0] == TLS_RECORD_HANDSHAKE and masking:
        try:
            hdr_rest = await asyncio.wait_for(
                reader.readexactly(4), timeout=10)
        except asyncio.IncompleteReadError:
            log.debug("[%s] incomplete TLS record header", label)
            return None
        tls_header = first_byte + hdr_rest
        record_len = struct.unpack('>H', tls_header[3:5])[0]
        try:
            record_body = await asyncio.wait_for(
                reader.readexactly(record_len), timeout=10)
        except asyncio.IncompleteReadError:
            log.debug("[%s] incomplete TLS record body", label)
            return None
        client_hello = tls_header + record_body
        tls_result = verify_client_hello(client_hello, secret)
        if tls_result is None:
            log.debug("[%s] Fake TLS verify failed (size=%d rec=%d) "
                      "-> masking",
                      label, len(client_hello), record_len)
            await proxy_to_masking_domain(
                reader, writer, client_hello, masking, label)
            return None
        client_random, session_id, ts = tls_result
        log.debug("[%s] Fake TLS handshake ok (ts=%d)", label, ts)
        server_hello = build_server_hello(secret, client_random, session_id)
        writer.write(server_hello)
        await writer.drain()
        tls_stream = FakeTlsStream(reader, writer)
        try:
            handshake = await asyncio.wait_for(
                tls_stream.readexactly(HANDSHAKE_LEN), timeout=10)
        except asyncio.IncompleteReadError:
            log.debug("[%s] incomplete obfs2 init inside TLS", label)
            return None
        return handshake, tls_stream, tls_stream, label
    elif masking:
        log.debug("[%s] non-TLS byte 0x%02X -> HTTP redirect", label,
                  first_byte[0])
        redirect = (
            f"HTTP/1.1 301 Moved Permanently\r\n"
            f"Location: https://{masking}/\r\n"
            f"Content-Length: 0\r\n"
            f"Connection: close\r\n\r\n"
        ).encode()
        writer.write(redirect)
        await writer.drain()
        return None
    else:
        try:
            rest = await asyncio.wait_for(
                reader.readexactly(HANDSHAKE_LEN - 1), timeout=10)
        except asyncio.IncompleteReadError:
            log.debug("[%s] client disconnected before handshake", label)
            return None
        return first_byte + rest, reader, writer, label
 def _build_crypto_ctx(client_dec_prekey_iv, secret, relay_init):
    # key = SHA256(prekey + secret), iv from handshake
    # "dec" = decrypt data from client; "enc" = encrypt data to client
    clt_dec_prekey = client_dec_prekey_iv[:PREKEY_LEN]
    clt_dec_iv = client_dec_prekey_iv[PREKEY_LEN:]
    clt_dec_key = hashlib.sha256(clt_dec_prekey + secret).digest()
    clt_enc_prekey_iv = client_dec_prekey_iv[::-1]
    clt_enc_key = hashlib.sha256(
        clt_enc_prekey_iv[:PREKEY_LEN] + secret).digest()
    clt_enc_iv = clt_enc_prekey_iv[PREKEY_LEN:]
    clt_decryptor = Cipher(
        algorithms.AES(clt_dec_key), modes.CTR(clt_dec_iv)
    ).encryptor()
    clt_encryptor = Cipher(
        algorithms.AES(clt_enc_key), modes.CTR(clt_enc_iv)
    ).encryptor()
    # fast-forward client decryptor past the 64-byte init
    clt_decryptor.update(ZERO_64)
    # relay side: standard obfuscation (no secret hash, raw key)
    relay_enc_key = relay_init[SKIP_LEN:SKIP_LEN + PREKEY_LEN]
    relay_enc_iv = relay_init[SKIP_LEN + PREKEY_LEN:
                              SKIP_LEN + PREKEY_LEN + IV_LEN]
    relay_dec_prekey_iv = relay_init[SKIP_LEN:
                                     SKIP_LEN + PREKEY_LEN + IV_LEN][::-1]
    relay_dec_key = relay_dec_prekey_iv[:KEY_LEN]
    relay_dec_iv = relay_dec_prekey_iv[KEY_LEN:]
    tg_encryptor = Cipher(
        algorithms.AES(relay_enc_key), modes.CTR(relay_enc_iv)
    ).encryptor()
    tg_decryptor = Cipher(
        algorithms.AES(relay_dec_key), modes.CTR(relay_dec_iv)
    ).encryptor()
    tg_encryptor.update(ZERO_64)
    return CryptoCtx(clt_decryptor, clt_encryptor, tg_encryptor, tg_decryptor)
 async def _handle_client(reader, writer, secret: bytes):
    stats.connections_total += 1
    stats.connections_active += 1
@@ -215,115 +355,25 @@ async def _handle_client(reader, writer, secret: bytes):
    set_sock_opts(writer.transport, proxy_config.buffer_size)
    tls_stream = None
    masking = proxy_config.fake_tls_domain
    try:
-        if proxy_config.proxy_protocol:
+        init = await _read_client_init(
-            try:
+            reader, writer, secret, label, proxy_config.fake_tls_domain)
-                pp_line = await asyncio.wait_for(
+        if init is None:
                    reader.readline(), timeout=10)
            except asyncio.IncompleteReadError:
                log.debug("[%s] disconnected during PROXY header", label)
                return
            pp_text = pp_line.decode('ascii', errors='replace').strip()
            if pp_text.startswith('PROXY '):
                parts = pp_text.split()
                if len(parts) >= 6:
                    label = f"{parts[2]}:{parts[4]}"
                log.debug("[%s] PROXY protocol: %s", label, pp_text)
            else:
                log.debug("[%s] expected PROXY header, got: %r", label,
                          pp_text[:60])
        try:
            first_byte = await asyncio.wait_for(
                reader.readexactly(1), timeout=10)
        except asyncio.IncompleteReadError:
            log.debug("[%s] client disconnected before handshake", label)
            return
-        if first_byte[0] == TLS_RECORD_HANDSHAKE and masking:
+        handshake, clt_reader, clt_writer, label = init
            try:
                hdr_rest = await asyncio.wait_for(
                    reader.readexactly(4), timeout=10)
            except asyncio.IncompleteReadError:
                log.debug("[%s] incomplete TLS record header", label)
                return
            tls_header = first_byte + hdr_rest
            record_len = struct.unpack('>H', tls_header[3:5])[0]
            try:
                record_body = await asyncio.wait_for(
                    reader.readexactly(record_len), timeout=10)
            except asyncio.IncompleteReadError:
                log.debug("[%s] incomplete TLS record body", label)
                return
            client_hello = tls_header + record_body
            tls_result = verify_client_hello(client_hello, secret)
            if tls_result is None:
                log.debug("[%s] Fake TLS verify failed (size=%d rec=%d) "
                          "-> masking",
                          label, len(client_hello), record_len)
                await proxy_to_masking_domain(
                    reader, writer, client_hello, masking, label)
                return
            client_random, session_id, ts = tls_result
            log.debug("[%s] Fake TLS handshake ok (ts=%d)", label, ts)
            server_hello = build_server_hello(secret, client_random, session_id)
            writer.write(server_hello)
            await writer.drain()
            tls_stream = FakeTlsStream(reader, writer)
            try:
                handshake = await asyncio.wait_for(
                    tls_stream.readexactly(HANDSHAKE_LEN), timeout=10)
            except asyncio.IncompleteReadError:
                log.debug("[%s] incomplete obfs2 init inside TLS", label)
                return
        elif masking:
            log.debug("[%s] non-TLS byte 0x%02X -> HTTP redirect", label,
                      first_byte[0])
            redirect = (
                f"HTTP/1.1 301 Moved Permanently\r\n"
                f"Location: https://{masking}/\r\n"
                f"Content-Length: 0\r\n"
                f"Connection: close\r\n\r\n"
            ).encode()
            writer.write(redirect)
            await writer.drain()
            return
        else:
            try:
                rest = await asyncio.wait_for(
                    reader.readexactly(HANDSHAKE_LEN - 1), timeout=10)
            except asyncio.IncompleteReadError:
                log.debug("[%s] client disconnected before handshake", label)
                return
            handshake = first_byte + rest
        result = _try_handshake(handshake, secret)
        if result is None:
            stats.connections_bad += 1
-            log.debug("[%s] bad handshake (wrong secret or proto)", label)
+            log.warning("[%s] bad handshake (wrong secret or proto)", label)
            try:
-                drain_src = tls_stream or reader
+                while await clt_reader.read(4096):
                while await drain_src.read(4096):
                    pass
            except Exception:
                pass
            return
        clt_reader = tls_stream or reader
        clt_writer = tls_stream or writer
        dc, is_media, proto_tag, client_dec_prekey_iv = result
        if proto_tag == PROTO_TAG_ABRIDGED:
@@ -339,48 +389,7 @@ async def _handle_client(reader, writer, secret: bytes):
                  label, dc, ' media' if is_media else '', proto_int)
        relay_init = _generate_relay_init(proto_tag, dc_idx)
-
+        ctx = _build_crypto_ctx(client_dec_prekey_iv, secret, relay_init)
        # key = SHA256(prekey + secret), iv from handshake
        # "dec" = decrypt data from client; "enc" = encrypt data to client
        clt_dec_prekey = client_dec_prekey_iv[:PREKEY_LEN]
        clt_dec_iv = client_dec_prekey_iv[PREKEY_LEN:]
        clt_dec_key = hashlib.sha256(clt_dec_prekey + secret).digest()
        clt_enc_prekey_iv = client_dec_prekey_iv[::-1]
        clt_enc_key = hashlib.sha256(
            clt_enc_prekey_iv[:PREKEY_LEN] + secret).digest()
        clt_enc_iv = clt_enc_prekey_iv[PREKEY_LEN:]
        clt_decryptor = Cipher(
            algorithms.AES(clt_dec_key), modes.CTR(clt_dec_iv)
        ).encryptor()
        clt_encryptor = Cipher(
            algorithms.AES(clt_enc_key), modes.CTR(clt_enc_iv)
        ).encryptor()
        # fast-forward client decryptor past the 64-byte init
        clt_decryptor.update(ZERO_64)
        # relay side: standard obfuscation (no secret hash, raw key)
        relay_enc_key = relay_init[SKIP_LEN:SKIP_LEN + PREKEY_LEN]
        relay_enc_iv = relay_init[SKIP_LEN + PREKEY_LEN:
                                  SKIP_LEN + PREKEY_LEN + IV_LEN]
        relay_dec_prekey_iv = relay_init[SKIP_LEN:
                                         SKIP_LEN + PREKEY_LEN + IV_LEN][::-1]
        relay_dec_key = relay_dec_prekey_iv[:KEY_LEN]
        relay_dec_iv = relay_dec_prekey_iv[KEY_LEN:]
        tg_encryptor = Cipher(
            algorithms.AES(relay_enc_key), modes.CTR(relay_enc_iv)
        ).encryptor()
        tg_decryptor = Cipher(
            algorithms.AES(relay_dec_key), modes.CTR(relay_dec_iv)
        ).encryptor()
        tg_encryptor.update(ZERO_64)
        ctx = CryptoCtx(clt_decryptor, clt_encryptor, tg_encryptor, tg_decryptor)
        dc_key = f'{dc}{"m" if is_media else ""}'
        media_tag = " media" if is_media else ""
@@ -448,7 +457,7 @@ async def _handle_client(reader, writer, secret: bytes):
                    stats.ws_errors += 1
                    all_redirects = False
                    log.warning("[%s] DC%d%s WS connect failed: %s",
-                                label, dc, media_tag, exc)
+                                label, dc, media_tag, repr(exc))
        # WS failed -> fallback
        if ws is None:
@@ -490,9 +499,9 @@ async def _handle_client(reader, writer, secret: bytes):
        await ws.send(relay_init)
-        await bridge_ws_reencrypt(clt_reader, clt_writer, ws, label,
+        await bridge_ws_reencrypt(clt_reader, clt_writer, ws, label, ctx,
                                   dc=dc, is_media=is_media,
-                                   ctx=ctx, splitter=splitter)
+                                   splitter=splitter)
    except asyncio.TimeoutError:
        log.warning("[%s] timeout during handshake", label)
@@ -506,7 +515,7 @@ async def _handle_client(reader, writer, secret: bytes):
        if getattr(exc, 'winerror', None) == 1236:
            log.debug("[%s] connection aborted by local system", label)
        else:
-            log.error("[%s] unexpected OS error: %s", label, exc)
+            log.error("[%s] unexpected OS error: %s", label, repr(exc))
    except Exception as exc:
        log.error("[%s] unexpected: %s", label, exc, exc_info=True)
    finally:
@@ -535,11 +544,8 @@ async def _run(stop_event: Optional[asyncio.Event] = None):
    if proxy_config.fallback_cfproxy:
        user = proxy_config.cfproxy_user_domain
        if user:
-            proxy_config.cfproxy_domains = [user]
+            balancer.update_domains_list([user])
            proxy_config.active_cfproxy_domain = user
        else:
            proxy_config.cfproxy_domains = list(CFPROXY_DEFAULT_DOMAINS)
            proxy_config.active_cfproxy_domain = random.choice(CFPROXY_DEFAULT_DOMAINS)
            start_cfproxy_domain_refresh()
    secret_bytes = bytes.fromhex(proxy_config.secret)
@@ -581,16 +587,17 @@ async def _run(stop_event: Optional[asyncio.Event] = None):
        ip = proxy_config.dc_redirects.get(dc)
        log.info("    DC%d: %s", dc, ip)
    if proxy_config.fallback_cfproxy:
        prio = 'CF first' if proxy_config.fallback_cfproxy_priority else 'TCP first'
        user_domain = "user" if proxy_config.cfproxy_user_domain else "auto"
-        log.info("  CF proxy:      enabled (%s | %s)", prio, user_domain)
+        log.info("  CF proxy:      enabled (%s)", user_domain)
    if proxy_config.cfproxy_worker_domain:
        log.info("  CF worker:     enabled (%s)",
                 proxy_config.cfproxy_worker_domain)
    log.info("=" * 60)
-    log.info("  Connect links:")
+    log.info("  Connect:")
    if ftls:
-        log.info("    ee (Fake TLS):        %s", ee_link)
+        log.info("    %s", ee_link)
    else:
-        log.info("       (standard):        %s", proxy_config.secret)
+        log.info("    %s", dd_link)
        log.info("    dd (random padding):  %s", dd_link)
    log.info("=" * 60)
    async def log_stats():
@@ -672,10 +679,12 @@ def main():
    ap.add_argument('--cfproxy-domain', type=str, default='',
                    metavar='DOMAIN',
                    help='User defined Cloudflare-proxied domain for WS fallback')
    ap.add_argument('--cfproxy-worker-domain', type=str, default='',
                    metavar='DOMAIN',
                    help='Cloudflare Worker domain for WS fallback '
                         '(tried before other fallback methods)')
    ap.add_argument('--no-cfproxy', action='store_true',
                    help='Disable Cloudflare proxy fallback')
    ap.add_argument('--cfproxy-priority', type=bool, default=True,
                    help='Try cfproxy before tcp fallback (default: true)')
    ap.add_argument('--fake-tls-domain', type=str, default='',
                    metavar='DOMAIN',
                    help='Enable Fake TLS (ee-secret) masking with the given '
@@ -715,8 +724,8 @@ def main():
    proxy_config.buffer_size = max(4, args.buf_kb) * 1024
    proxy_config.pool_size = max(0, args.pool_size)
    proxy_config.fallback_cfproxy = not args.no_cfproxy
-    proxy_config.fallback_cfproxy_priority = args.cfproxy_priority
+    proxy_config.cfproxy_user_domain = args.cfproxy_domain.strip()
-    proxy_config.cfproxy_user_domain = args.cfproxy_domain
+    proxy_config.cfproxy_worker_domain = args.cfproxy_worker_domain.strip()
    proxy_config.fake_tls_domain = args.fake_tls_domain.strip()
    proxy_config.proxy_protocol = args.proxy_protocol
--- a/proxy/utils.py
+++ b/proxy/utils.py
@@ -1,6 +1,9 @@
 import socket as _socket
 import urllib.request
 import http.client
-from typing import Optional
+from typing import Optional, Dict
 from urllib.request import Request
 ZERO_64 = b'\x00' * 64
@@ -26,12 +29,17 @@ RESERVED_STARTS = {b'\x48\x45\x41\x44', b'\x50\x4F\x53\x54',
                    b'\xdd\xdd\xdd\xdd', b'\x16\x03\x01\x02'}
 RESERVED_CONTINUE = b'\x00\x00\x00\x00'
 _GITHUB_IPS: Dict[str, str] = {
    "release-assets.githubusercontent.com": "185.199.109.133",
    "raw.githubusercontent.com": "185.199.109.133",
 }
 def human_bytes(n: int) -> str:
    for unit in ('B', 'KB', 'MB', 'GB'):
        if abs(n) < 1024:
            return f"{n:.1f}{unit}"
-        n /= 1024
+        n /= 1024  # type: ignore
    return f"{n:.1f}TB"
@@ -46,3 +54,34 @@ def get_link_host(host: str) -> Optional[str]:
        return link_host
    else:
        return host
 class _PinnedHTTPSHandler(urllib.request.HTTPSHandler):
    def https_open(self, req: Request):
        host = req.host.split(":")[0]
        ip = _GITHUB_IPS.get(host)
        if not ip:
            return super().https_open(req)
        pinned = ip
        class _Conn(http.client.HTTPSConnection):
            def connect(self):
                self.sock = _socket.create_connection(
                    (pinned, self.port or 443),
                    self.timeout,
                    self.source_address,
                )
                if self._tunnel_host:
                    self._tunnel()
                self.sock = self._context.wrap_socket(
                    self.sock, server_hostname=self._tunnel_host or self.host
                )
        try:
            return self.do_open(_Conn, req)
        except Exception:
            return super().https_open(req)
 def build_github_opener() -> urllib.request.OpenerDirector:
    return urllib.request.build_opener(_PinnedHTTPSHandler())
--- a/ui/ctk_tray_ui.py
+++ b/ui/ctk_tray_ui.py
@@ -1,12 +1,13 @@
 from __future__ import annotations
 import logging
 import os
 import webbrowser
 from dataclasses import dataclass
 from typing import Any, Callable, Dict, List, Optional, Tuple, Union
 from proxy import __version__, get_link_host, parse_dc_ip_list
-from proxy.config import proxy_config
+from proxy.balancer import balancer
 from utils.update_check import RELEASES_PAGE_URL, get_status
@@ -17,6 +18,8 @@ from ui.ctk_theme import (
 )
 from ui.ctk_tooltip import attach_ctk_tooltip, attach_tooltip_to_widgets
 log = logging.getLogger('tg-mtproto-proxy')
 _TIP_HOST = (
    "Адрес, на котором прокси принимает подключения.\n"
    "Обычно 127.0.0.1 — локальная сеть, 0.0.0.0 - все интерфейсы"
@@ -55,9 +58,6 @@ _TIP_CHECK_UPDATES = "При запуске проверять наличие о
 _TIP_CFPROXY = (
    "Использовать Cloudflare прокси для недоступных датацентров"
 )
 _TIP_CFPROXY_PRIORITY = (
    "Пробовать CF-прокси раньше прямого TCP-подключения"
 )
 _TIP_CFPROXY_DOMAIN = (
    "Ваш собственный домен, проксируемый через Cloudflare, для WS-подключения.\n"
    "Если не указан — выбирается автоматически из поддерживаемых доменов"
@@ -65,14 +65,27 @@ _TIP_CFPROXY_DOMAIN = (
 _TIP_CFPROXY_USER_DOMAIN_CB = (
    "Указать свой домен вместо автоматического выбора"
 )
 _TIP_CFWORKER_DOMAIN = (
    "Домен Cloudflare Worker (например, name.account.workers.dev).\n"
    "Прокси передает через него подключение к Telegram DC по IP"
 )
 _TIP_SAVE = "Сохранить настройки"
 _TIP_CANCEL = "Закрыть окно без сохранения изменений"
 _CFPROXY_HELP_URL = "https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/CfProxy.md"
 _CFWORKER_HELP_URL = "https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/CfWorker.md"
 _CFPROXY_TEST_DCS = [1, 2, 3, 4, 5, 203]
 _CFWORKER_TEST_DST = {
    1: '149.154.175.50',
    2: '149.154.167.51',
    3: '149.154.175.100',
    4: '149.154.167.91',
    5: '149.154.171.5',
    203: '91.105.192.100',
 }
-def _run_cfproxy_connectivity_test(domain: str) -> dict:
+def _run_connectivity_test(cases: list) -> dict:
    import base64
    import ssl
    import socket as _socket
@@ -81,15 +94,14 @@ def _run_cfproxy_connectivity_test(domain: str) -> dict:
    ctx.check_hostname = False
    ctx.verify_mode = ssl.CERT_NONE
    results = {}
-    for dc in _CFPROXY_TEST_DCS:
+    for dc, connect_host, sni_host, req_host, path in cases:
        host = f"kws{dc}.{domain}"
        try:
-            with _socket.create_connection((host, 443), timeout=5) as raw:
+            with _socket.create_connection((connect_host, 443), timeout=5) as raw:
-                with ctx.wrap_socket(raw, server_hostname=host) as ssock:
+                with ctx.wrap_socket(raw, server_hostname=sni_host) as ssock:
                    ws_key = base64.b64encode(os.urandom(16)).decode()
                    req = (
-                        f"GET /apiws HTTP/1.1\r\n"
+                        f"GET {path} HTTP/1.1\r\n"
-                        f"Host: {host}\r\n"
+                        f"Host: {req_host}\r\n"
                        f"Upgrade: websocket\r\n"
                        f"Connection: Upgrade\r\n"
                        f"Sec-WebSocket-Key: {ws_key}\r\n"
@@ -120,6 +132,23 @@ def _run_cfproxy_connectivity_test(domain: str) -> dict:
    return results
 def _run_cfproxy_connectivity_test(domain: str) -> dict:
    cases = []
    for dc in _CFPROXY_TEST_DCS:
        host = f"kws{dc}.{domain}"
        cases.append((dc, host, host, host, "/apiws"))
    return _run_connectivity_test(cases)
 def _run_cfworker_connectivity_test(domain: str) -> dict:
    cases = []
    for dc in _CFPROXY_TEST_DCS:
        dst = _CFWORKER_TEST_DST[dc]
        path = f"/apiws?dst={dst}&dc={dc}&media=0"
        cases.append((dc, domain, domain, domain, path))
    return _run_connectivity_test(cases)
 def _run_cfproxy_auto_test(domains: list) -> tuple:
    merged: dict = {}
    best_domain = None
@@ -136,49 +165,39 @@ def _run_cfproxy_auto_test(domains: list) -> tuple:
    return best_domain, merged
-def _cfproxy_show_test_results(domain: str, results: dict) -> None:
+def _show_connectivity_results(title_base: str, results: dict,
                               domain: str = '', label_prefix: str = 'DC',
                               auto_mode: bool = False,
                               unavailable_message: str = '') -> None:
    import tkinter as _tk
    from tkinter import messagebox as _mb
    ok = [dc for dc, v in results.items() if v is True]
-    fail = [(dc, v) for dc, v in results.items() if v is not True]
+    if auto_mode:
-    if len(ok) == len(_CFPROXY_TEST_DCS):
+        if domain:
-        title = "CF-прокси: всё работает"
+            title = f"{title_base}: доступен"
-        msg = f"\u2713 Все {len(_CFPROXY_TEST_DCS)} серверов доступны через {domain}."
+            msg = f"\u2713 {title_base} работает. {len(ok)} из {len(_CFPROXY_TEST_DCS)} серверов доступны."
-    elif not ok:
+        else:
-        title = "CF-прокси: недоступен"
+            title = f"{title_base}: недоступен"
-        msg = f"\u2717 Ни один сервер не отвечает через {domain}.\n\nОшибки:\n"
+            msg = unavailable_message
        msg += "\n".join(f"  kws{dc}: {v}" for dc, v in fail)
    else:
-        title = "CF-прокси: частично работает"
+        fail = [(dc, v) for dc, v in results.items() if v is not True]
-        msg = (
+        if len(ok) == len(_CFPROXY_TEST_DCS):
-            f"Домен: {domain}\n\n"
+            title = f"{title_base}: всё работает"
-            f"\u2713 Работают: {', '.join(f'kws{dc}' for dc in ok)}\n\n"
+            msg = f"\u2713 Все {len(_CFPROXY_TEST_DCS)} серверов доступны через {domain}."
-            f"\u2717 Недоступны:\n"
+        elif not ok:
-            + "\n".join(f"  kws{dc}: {v}" for dc, v in fail)
+            title = f"{title_base}: недоступен"
-        )
+            msg = f"\u2717 Ни один сервер не отвечает через {domain}.\n\nОшибки:\n"
-    root = _tk.Tk()
+            msg += "\n".join(f"  {label_prefix}{dc}: {v}" for dc, v in fail)
-    root.withdraw()
+        else:
-    try:
+            title = f"{title_base}: частично работает"
-        root.attributes("-topmost", True)
+            msg = (
-    except Exception:
+                f"Домен: {domain}\n\n"
-        pass
+                f"\u2713 Работают: {', '.join(f'{label_prefix}{dc}' for dc in ok)}\n\n"
-    _mb.showinfo(title, msg, parent=root)
+                f"\u2717 Недоступны:\n"
-    root.destroy()
+                + "\n".join(f"  {label_prefix}{dc}: {v}" for dc, v in fail)
            )
 def _cfproxy_show_auto_test_results(ok_domain, results: dict) -> None:
    import tkinter as _tk
    from tkinter import messagebox as _mb
    if ok_domain is not None:
        title = "CF-прокси: доступен"
        ok = [dc for dc, v in results.items() if v is True]
        msg = f"\u2713 CF-прокси работает. {len(ok)} из {len(_CFPROXY_TEST_DCS)} серверов доступны."
    else:
        title = "CF-прокси: недоступен"
        msg = "\u2717 Ни один из автоматических CF-доменов не отвечает.\n"
        msg += "Возможно, блокировка или проблемы с сетью."
    root = _tk.Tk()
    root.withdraw()
    try:
@@ -296,8 +315,8 @@ class TrayConfigFormWidgets:
    autostart_var: Optional[Any]
    check_updates_var: Optional[Any]
    cfproxy_var: Optional[Any] = None
    cfproxy_priority_var: Optional[Any] = None
    cfproxy_user_domain_var: Optional[Any] = None
    cfproxy_worker_domain_var: Optional[Any] = None
    appearance_var: Optional[Any] = None
@@ -330,6 +349,7 @@ def install_tray_config_form(
    def _on_appearance_change(choice: str) -> None:
        cfg_val = _APPEARANCE_TO_CFG.get(choice, "auto")
        ctk.set_appearance_mode(_APPEARANCE_TO_CTK[cfg_val])
        cfg["appearance"] = cfg_val
    ctk.CTkComboBox(
        header,
@@ -358,7 +378,7 @@ def install_tray_config_form(
        text_color="#ffffff", border_width=0,
        command=lambda: (
            header.winfo_toplevel().iconify(),
-            webbrowser.open("https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/README.md"),
+            webbrowser.open("https://github.com/Flowseal/tg-ws-proxy/blob/main/docs/Funding.md"),
        ),
    ).pack(side="right", padx=(0, 6))
@@ -427,13 +447,6 @@ def install_tray_config_form(
    cf_cb.pack(side="left", padx=(0, 16))
    attach_ctk_tooltip(cf_cb, _TIP_CFPROXY)
    cfproxy_priority_var = ctk.BooleanVar(
        value=cfg.get("cfproxy_priority", default_config.get("cfproxy_priority", True))
    )
    cf_prio_cb = _checkbox(ctk, cf_row, theme, "Приоритет", cfproxy_priority_var)
    cf_prio_cb.pack(side="left")
    attach_ctk_tooltip(cf_prio_cb, _TIP_CFPROXY_PRIORITY)
    _cf_test_btn = [None]
    def _on_cf_test():
@@ -444,17 +457,42 @@ def install_tray_config_form(
        import threading as _threading
        if user_domain:
            def _worker():
-                res = _run_cfproxy_connectivity_test(user_domain)
+                try:
-                if btn:
+                    res = _run_cfproxy_connectivity_test(user_domain)
-                    btn.after(0, lambda: btn.configure(text="Тест", state="normal"))
+                    if btn:
-                    btn.after(0, lambda: _cfproxy_show_test_results(user_domain, res))
+                        btn.after(
                            0,
                            lambda: _show_connectivity_results(
                                "CF-прокси", res, domain=user_domain, label_prefix='kws',
                            ),
                        )
                except Exception as exc:
                    log.error("CF proxy test failed: %s", exc)
                finally:
                    if btn:
                        btn.after(0, lambda: btn.configure(text="Тест", state="normal"))
            _threading.Thread(target=_worker, daemon=True).start()
        else:
            def _worker_auto():
-                ok_domain, res = _run_cfproxy_auto_test(proxy_config.cfproxy_domains)
+                try:
-                if btn:
+                    ok_domain, res = _run_cfproxy_auto_test(balancer.domains)
-                    btn.after(0, lambda: btn.configure(text="Тест", state="normal"))
+                    if btn:
-                    btn.after(0, lambda: _cfproxy_show_auto_test_results(ok_domain, res))
+                        btn.after(
                            0,
                            lambda: _show_connectivity_results(
                                "CF-прокси", res,
                                domain=ok_domain or '',
                                auto_mode=True,
                                unavailable_message=(
                                    "\u2717 Ни один из автоматических CF-доменов не отвечает."
                                ),
                            ),
                        )
                except Exception as exc:
                    log.error("CF proxy auto-test failed: %s", exc)
                finally:
                    if btn:
                        btn.after(0, lambda: btn.configure(text="Тест", state="normal"))
            _threading.Thread(target=_worker_auto, daemon=True).start()
    _cf_test_widget = ctk.CTkButton(
@@ -501,6 +539,80 @@ def install_tray_config_form(
    cf_custom_cb_var.trace_add("write", _sync_domain_entry)
    _sync_domain_entry()
    cf_worker_inner = _config_section(ctk, frame, theme, "Cloudflare Worker")
    cf_worker_row = ctk.CTkFrame(cf_worker_inner, fg_color="transparent")
    cf_worker_row.pack(fill="x", pady=(0, 4))
    cf_worker_lbl = _label(ctk, cf_worker_row, theme, "Cloudflare Worker домен", size=11)
    cf_worker_lbl.pack(anchor="w", pady=(0, 2))
    cf_worker_input = ctk.CTkFrame(cf_worker_inner, fg_color="transparent")
    cf_worker_input.pack(fill="x")
    cfproxy_worker_domain_var = ctk.StringVar(
        value=cfg.get("cfproxy_worker_domain", default_config.get("cfproxy_worker_domain", ""))
    )
    cf_worker_entry = _entry(
        ctk, cf_worker_input, theme, var=cfproxy_worker_domain_var,
        height=32, radius=8,
    )
    cf_worker_entry.pack(side="left", fill="x", expand=True, padx=(0, 6))
    attach_tooltip_to_widgets([cf_worker_lbl, cf_worker_entry], _TIP_CFWORKER_DOMAIN)
    _cfworker_test_btn = [None]
    def _sync_cfworker_test_button(*_):
        btn = _cfworker_test_btn[0]
        if btn is None:
            return
        enabled = bool(cfproxy_worker_domain_var.get().strip())
        btn.configure(state="normal" if enabled else "disabled")
    def _on_cfworker_test():
        domain = cfproxy_worker_domain_var.get().strip()
        btn = _cfworker_test_btn[0]
        if not domain or btn is None:
            return
        btn.configure(text="...", state="disabled")
        import threading as _threading
        def _worker():
            try:
                res = _run_cfworker_connectivity_test(domain)
                btn.after(
                    0,
                    lambda: _show_connectivity_results(
                        "CF Worker", res, domain=domain, label_prefix='DC',
                    ),
                )
            except Exception as exc:
                log.error("CF worker test failed: %s", exc)
            finally:
                btn.after(0, lambda: btn.configure(text="Тест"))
                btn.after(0, _sync_cfworker_test_button)
        _threading.Thread(target=_worker, daemon=True).start()
    ctk.CTkButton(
        cf_worker_input, text="?", width=28, height=32,
        font=(theme.ui_font_family, 14), corner_radius=8,
        fg_color=theme.tg_blue, hover_color=theme.tg_blue_hover,
        text_color="#ffffff", border_width=1, border_color=theme.field_border,
        command=lambda: webbrowser.open(_CFWORKER_HELP_URL),
    ).pack(side="right")
    _cfworker_test_widget = ctk.CTkButton(
        cf_worker_input, text="Тест", width=56, height=32,
        font=(theme.ui_font_family, 13), corner_radius=8,
        fg_color=theme.tg_blue, hover_color=theme.tg_blue_hover,
        text_color="#ffffff", border_width=1, border_color=theme.field_border,
        command=_on_cfworker_test,
    )
    _cfworker_test_widget.pack(side="right", padx=(0, 6))
    _cfworker_test_btn[0] = _cfworker_test_widget
    cfproxy_worker_domain_var.trace_add("write", _sync_cfworker_test_button)
    _sync_cfworker_test_button()
    log_inner = _config_section(ctk, frame, theme, "Логи и производительность")
    verbose_var = ctk.BooleanVar(value=cfg.get("verbose", False))
@@ -590,8 +702,8 @@ def install_tray_config_form(
        adv_entries=adv_entries, adv_keys=adv_keys,
        autostart_var=autostart_var, check_updates_var=check_updates_var,
        cfproxy_var=cfproxy_var,
        cfproxy_priority_var=cfproxy_priority_var,
        cfproxy_user_domain_var=cfproxy_user_domain_var,
        cfproxy_worker_domain_var=cfproxy_worker_domain_var,
        appearance_var=appearance_var,
    )
@@ -671,10 +783,10 @@ def validate_config_form(
        new_cfg["check_updates"] = bool(widgets.check_updates_var.get())
    if widgets.cfproxy_var is not None:
        new_cfg["cfproxy"] = bool(widgets.cfproxy_var.get())
    if widgets.cfproxy_priority_var is not None:
        new_cfg["cfproxy_priority"] = bool(widgets.cfproxy_priority_var.get())
    if widgets.cfproxy_user_domain_var is not None:
        new_cfg["cfproxy_user_domain"] = widgets.cfproxy_user_domain_var.get().strip()
    if widgets.cfproxy_worker_domain_var is not None:
        new_cfg["cfproxy_worker_domain"] = widgets.cfproxy_worker_domain_var.get().strip()
    if widgets.appearance_var is not None:
        new_cfg["appearance"] = _APPEARANCE_TO_CFG.get(widgets.appearance_var.get(), "auto")
    return new_cfg
--- a/utils/default_config.py
+++ b/utils/default_config.py
@@ -18,8 +18,8 @@ _TRAY_DEFAULTS_COMMON: Dict[str, Any] = {
    "buf_kb": 256,
    "pool_size": 4,
    "cfproxy": True,
    "cfproxy_priority": True,
    "cfproxy_user_domain": "",
    "cfproxy_worker_domain": "",
 }
--- a/utils/tray_common.py
+++ b/utils/tray_common.py
@@ -51,7 +51,7 @@ def ensure_dirs() -> None:
 _lock_file_path: Optional[Path] = None
-def _same_process(meta: dict, proc: psutil.Process, script_hint: str) -> bool:
+def _same_process(meta: dict, proc: psutil.Process) -> bool:
    try:
        lock_ct = float(meta.get("create_time", 0.0))
        if lock_ct > 0 and abs(lock_ct - proc.create_time()) > 1.0:
@@ -63,7 +63,7 @@ def _same_process(meta: dict, proc: psutil.Process, script_hint: str) -> bool:
    return False
-def acquire_lock(script_hint: str = "") -> bool:
+def acquire_lock() -> bool:
    global _lock_file_path
    ensure_dirs()
    for f in list(APP_DIR.glob("*.lock")):
@@ -84,7 +84,7 @@ def acquire_lock(script_hint: str = "") -> bool:
            pass
        is_running = False
        try:
-            is_running = _same_process(meta, psutil.Process(pid), script_hint)
+            is_running = _same_process(meta, psutil.Process(pid))
        except Exception:
            pass
        if is_running:
@@ -132,7 +132,7 @@ def load_config() -> dict:
                data.setdefault(k, v)
            return data
        except Exception as exc:
-            log.warning("Failed to load config: %s", exc)
+            log.warning("Failed to load config: %s", repr(exc))
    return dict(DEFAULT_CONFIG)
@@ -242,7 +242,7 @@ def _run_proxy_thread(on_port_busy: Callable[[str], None]) -> None:
    try:
        loop.run_until_complete(_run(stop_event=stop_ev))
    except Exception as exc:
-        log.error("Proxy thread crashed: %s", exc)
+        log.error("Proxy thread crashed: %s", repr(exc))
        if "Address already in use" in str(exc) or "10048" in str(exc):
            on_port_busy(
                "Не удалось запустить прокси:\n"
@@ -271,8 +271,8 @@ def apply_proxy_config(cfg: dict) -> bool:
    pc.buffer_size = max(4, cfg.get("buf_kb", DEFAULT_CONFIG["buf_kb"])) * 1024
    pc.pool_size = max(0, cfg.get("pool_size", DEFAULT_CONFIG["pool_size"]))
    pc.fallback_cfproxy = cfg.get("cfproxy", DEFAULT_CONFIG["cfproxy"])
    pc.fallback_cfproxy_priority = cfg.get("cfproxy_priority", DEFAULT_CONFIG["cfproxy_priority"])
    pc.cfproxy_user_domain = cfg.get("cfproxy_user_domain", DEFAULT_CONFIG["cfproxy_user_domain"])
    pc.cfproxy_worker_domain = cfg.get("cfproxy_worker_domain", DEFAULT_CONFIG["cfproxy_worker_domain"])
    return True
@@ -391,7 +391,7 @@ def maybe_notify_update(
            ):
                webbrowser.open(url)
        except Exception as exc:
-            log.debug("Update check failed: %s", exc)
+            log.warning("Update check failed: %s", repr(exc))
    threading.Thread(target=_work, daemon=True, name="update-check").start()
--- a/utils/update_check.py
+++ b/utils/update_check.py
@@ -14,7 +14,8 @@ from itertools import zip_longest
 from pathlib import Path
 from typing import Any, Dict, Optional, Tuple
 from urllib.error import HTTPError, URLError
-from urllib.request import Request, urlopen
+from urllib.request import Request
 from proxy.utils import build_github_opener
 REPO = "Flowseal/tg-ws-proxy"
 RELEASES_LATEST_API = f"https://api.github.com/repos/{REPO}/releases/latest"
@@ -30,6 +31,7 @@ _state: Dict[str, Any] = {
    "latest": None,
    "html_url": None,
    "error": None,
    "assets": [],
 }
@@ -72,7 +74,7 @@ def _parse_version_tuple(s: str) -> tuple:
        return (0,)
    parts = []
    for seg in s.split("."):
-        digits = "".join(c for c in seg if c.isdigit())
+        digits = next((seg[:i] for i, c in enumerate(seg) if not c.isdigit()), seg)
        if digits:
            try:
                parts.append(int(digits))
@@ -134,7 +136,7 @@ def fetch_latest_release(
        method="GET",
    )
    try:
-        with urlopen(req, timeout=timeout) as resp:
+        with build_github_opener().open(req, timeout=timeout) as resp:
            code = getattr(resp, "status", None) or resp.getcode()
            new_etag = resp.headers.get("ETag")
            raw = resp.read().decode("utf-8", errors="replace")
@@ -162,6 +164,7 @@ def run_check(current_version: str) -> None:
        tag = (cache.get("tag_name") or "").strip()
        if tag:
            _apply_release_tag(tag, cache.get("html_url") or "", current_version)
            _state["assets"] = cache.get("assets") or []
            return
        err = cache.get("last_error")
        _state["error"] = (
@@ -181,6 +184,7 @@ def run_check(current_version: str) -> None:
            tag = (cache.get("tag_name") or "").strip()
            url = (cache.get("html_url") or "").strip() or RELEASES_PAGE_URL
            _apply_release_tag(tag, url, current_version)
            _state["assets"] = cache.get("assets") or []
            if new_etag:
                cache["etag"] = new_etag
            _save_cache(cache_path, cache)
@@ -200,6 +204,13 @@ def run_check(current_version: str) -> None:
            cache["etag"] = new_etag
        cache["tag_name"] = tag
        cache["html_url"] = html_url
        assets = [
            {"name": a.get("name", ""), "url": a.get("browser_download_url", ""), "digest": a.get("digest", "")}
            for a in (data.get("assets") or [])
            if a.get("name") and a.get("browser_download_url")
        ]
        _state["assets"] = assets
        cache["assets"] = assets
        cache.pop("last_error", None)
        _save_cache(cache_path, cache)
    except (HTTPError, URLError, OSError, TimeoutError, ValueError, json.JSONDecodeError) as e:
@@ -221,3 +232,45 @@ def run_check(current_version: str) -> None:
 def get_status() -> Dict[str, Any]:
    """Снимок состояния после run_check (для подписей в настройках)."""
    return dict(_state)
 def get_update_asset(exe_path: Path) -> Optional[Tuple[str, str]]:
    assets = _state.get("assets") or []
    if not assets:
        return None
    # Try SHA256 match against release asset digests
    try:
        import hashlib
        h = hashlib.sha256()
        with open(exe_path, "rb") as f:
            while True:
                chunk = f.read(65536)
                if not chunk:
                    break
                h.update(chunk)
        exe_sha = h.hexdigest().lower()
        for a in assets:
            d = (a.get("digest") or "").lower()
            if d.startswith("sha256:") and d[7:] == exe_sha:
                return a["url"], a["name"]
    except Exception:
        pass
    # Fallback
    import struct
    is_64 = struct.calcsize("P") * 8 == 64
    try:
        is_modern = sys.getwindowsversion().major >= 10
    except Exception:
        is_modern = True
    if is_modern:
        name = "TgWsProxy_windows.exe"
    elif is_64:
        name = "TgWsProxy_windows_7_64bit.exe"
    else:
        name = "TgWsProxy_windows_7_32bit.exe"
    for a in assets:
        if a.get("name") == name:
            return a["url"], a["name"]
    return None
--- a/windows.py
+++ b/windows.py
@@ -2,13 +2,17 @@ from __future__ import annotations
 import ctypes
 import os
 import subprocess
 import sys
 import threading
 import time
 import webbrowser
 import winreg
 import tempfile
 from pathlib import Path
 from typing import Optional
 from proxy.utils import build_github_opener
 try:
    import pyperclip
@@ -40,7 +44,7 @@ from utils.tray_common import (
    APP_NAME, DEFAULT_CONFIG, FIRST_RUN_MARKER, IS_FROZEN, LOG_FILE,
    acquire_lock, bootstrap, check_ipv6_warning, ctk_run_dialog,
    ensure_ctk_thread, ensure_dirs, load_config, load_icon, log,
-    maybe_notify_update, quit_ctk, release_lock, restart_proxy,
+    quit_ctk, release_lock, restart_proxy,
    save_config, start_proxy, stop_proxy, tg_proxy_url,
 )
 from ui.ctk_tray_ui import (
@@ -56,6 +60,39 @@ from ui.ctk_theme import (
 _tray_icon: Optional[object] = None
 _config: dict = {}
 _exiting = False
 _win_mutex_handle = None
 _ERROR_ALREADY_EXISTS = 183
 def _acquire_win_mutex() -> bool | None:
    global _win_mutex_handle
    try:
        kernel32 = ctypes.windll.kernel32
        kernel32.CreateMutexW.restype = ctypes.c_void_p
        kernel32.CreateMutexW.argtypes = [ctypes.c_void_p, ctypes.c_bool, ctypes.c_wchar_p]
        handle = kernel32.CreateMutexW(None, True, "Local\\TgWsProxy_SingleInstance")
        if kernel32.GetLastError() == _ERROR_ALREADY_EXISTS:
            kernel32.CloseHandle(ctypes.c_void_p(handle))
            return False
        if not handle:
            return None
        _win_mutex_handle = handle
        return True
    except Exception:
        return None
 def _release_win_mutex() -> None:
    global _win_mutex_handle
    if _win_mutex_handle:
        try:
            kernel32 = ctypes.windll.kernel32
            kernel32.ReleaseMutex(ctypes.c_void_p(_win_mutex_handle))
            kernel32.CloseHandle(ctypes.c_void_p(_win_mutex_handle))
        except Exception:
            pass
        _win_mutex_handle = None
 ICON_PATH = str(Path(__file__).parent / "icon.ico")
@@ -68,7 +105,9 @@ _u32.MessageBoxW.restype = ctypes.c_int
 _MB_OK_ERR = 0x10
 _MB_OK_INFO = 0x40
 _MB_YESNO_Q = 0x24
 _MB_YESNOCANCEL_Q = 0x23
 _IDYES = 6
 _IDNO = 7
 def _show_error(text: str, title: str = "TG WS Proxy — Ошибка") -> None:
@@ -83,6 +122,231 @@ def _ask_yes_no(text: str, title: str = "TG WS Proxy") -> bool:
    return _u32.MessageBoxW(None, text, title, _MB_YESNO_Q) == _IDYES
 def update_ctk_form(
    text: str, title: str = "TG WS Proxy", download_url: Optional[str] = None,
    release_url: Optional[str] = None,
 ) -> str:
    if ctk is None or not ensure_ctk_thread(ctk, _config.get("appearance", "auto")):
        result = _u32.MessageBoxW(None, text, title, _MB_YESNOCANCEL_Q)
        if result == _IDYES:
            return "update"
        if result == _IDNO:
            return "open"
        return "close"
    result = {"value": "close"}
    def _build(done: threading.Event) -> None:
        theme = ctk_theme_for_platform()
        root = create_ctk_toplevel(
            ctk,
            title=title,
            width=310 if IS_FROZEN else 210,
            height=130 if IS_FROZEN else 100,
            theme=theme,
            after_create=lambda r: r.iconbitmap(ICON_PATH),
        )
        frame = main_content_frame(ctk, root, theme, padx=16, pady=14)
        ctk.CTkLabel(
            frame,
            text=text,
            justify="left",
            anchor="w",
            wraplength=270,
            font=(theme.ui_font_family, 12),
            text_color=theme.text_primary,
        ).pack(fill="x", pady=(0, 10))
        row = ctk.CTkFrame(frame, fg_color="transparent")
        row.pack(fill="x")
        status_label = ctk.CTkLabel(
            frame, text="", justify="left", anchor="w", wraplength=270,
            font=(theme.ui_font_family, 11), text_color=theme.text_secondary,
        )
        status_label.pack(fill="x", pady=(6, 0))
        btns: list = []
        def _set_status(msg: str) -> None:
            root.after(0, lambda: status_label.configure(text=msg))
        def _close_with(value: str) -> None:
            result["value"] = value
            root.destroy()
            done.set()
        def _on_update() -> None:
            if not download_url:
                if release_url:
                    webbrowser.open(release_url)
                _close_with("open")
                return
            for b in btns:
                b.configure(state="disabled")
            root.protocol("WM_DELETE_WINDOW", lambda: None)
            def _run():
                _perform_update(download_url, set_status=_set_status)
                root.after(0, lambda: [b.configure(state="normal") for b in btns])
                root.after(0, lambda: root.protocol("WM_DELETE_WINDOW", lambda: _close_with("close")))
            threading.Thread(target=_run, daemon=True).start()
        if IS_FROZEN:
            btn_upd = ctk.CTkButton(
                row, text="Обновить", width=88, height=34,
                font=(theme.ui_font_family, 13), command=_on_update,
            )
            btn_upd.pack(side="left", padx=(0, 6))
            btns.append(btn_upd)
        btn_pg = ctk.CTkButton(
            row, text="Страница", width=88, height=34,
            font=(theme.ui_font_family, 13), command=lambda: _close_with("open"),
        )
        btn_pg.pack(side="left", padx=(0, 6))
        btns.append(btn_pg)
        btn_cl = ctk.CTkButton(
            row, text="Закрыть", width=88, height=34,
            font=(theme.ui_font_family, 13),
            fg_color=theme.field_bg, hover_color=theme.field_border,
            text_color=theme.text_primary, border_width=1, border_color=theme.field_border,
            command=lambda: _close_with("close"),
        )
        btn_cl.pack(side="left")
        btns.append(btn_cl)
        root.protocol("WM_DELETE_WINDOW", lambda: _close_with("close"))
    ctk_run_dialog(_build)
    return result["value"]
 def _perform_update(download_url: str, set_status=None) -> None:
    def _step(msg: str) -> None:
        log.info("Update: %s", msg)
        if set_status:
            set_status(msg)
            time.sleep(0.8)
    def _err(msg: str) -> None:
        log.error("Update error: %s", msg)
        if set_status:
            set_status(f"Ошибка: {msg}")
        else:
            _show_error(msg)
    _step("Скачивание...")
    cur_exe = Path(sys.executable)
    old_exe = cur_exe.with_name(cur_exe.stem + "_oldtgws.exe")
    tmp_path = None
    try:
        fd, tmp_name = tempfile.mkstemp(dir=cur_exe.parent, suffix=".tmp")
        os.close(fd)
        tmp_path = Path(tmp_name)
        log.info("Downloading update from %s", download_url)
        opener = build_github_opener()
        with opener.open(download_url) as _resp:
            with open(str(tmp_path), "wb") as _fout:
                while True:
                    _chunk = _resp.read(65536)
                    if not _chunk:
                        break
                    _fout.write(_chunk)
    except Exception as exc:
        _err(f"Не удалось скачать:\n{exc}")
        if tmp_path:
            try:
                tmp_path.unlink(missing_ok=True)
            except OSError:
                pass
        return
    _step("Замена файла...")
    try:
        if old_exe.exists():
            old_exe.unlink()
        cur_exe.rename(old_exe)
    except Exception as exc:
        _err(f"Не удалось переименовать файл:\n{exc}")
        try:
            tmp_path.unlink(missing_ok=True)
        except OSError:
            pass
        return
    try:
        tmp_path.rename(cur_exe)
    except Exception as exc:
        _err(f"Не удалось переместить файл:\n{exc}")
        try:
            old_exe.rename(cur_exe)
        except OSError:
            pass
        try:
            tmp_path.unlink(missing_ok=True)
        except OSError:
            pass
        return
    _step("Перезапуск...")
    _release_win_mutex()
    stop_proxy()
    # Don't reuse existing _MEI* dir
    env = os.environ.copy()
    for _k in [k for k in env if k.startswith("_PYI_") or k == "_MEIPASS"]:
        del env[_k]
    if hasattr(sys, "_MEIPASS"):
        _mei = os.path.normcase(sys._MEIPASS.rstrip("\\/"))
        env["PATH"] = os.pathsep.join(
            p for p in env.get("PATH", "").split(os.pathsep)
            if os.path.normcase(p.rstrip("\\/")) != _mei
        )
    try:
        subprocess.Popen(
            [str(cur_exe)],
            env=env,
            creationflags=subprocess.DETACHED_PROCESS | subprocess.CREATE_NEW_PROCESS_GROUP,
        )
    except Exception as exc:
        log.error("Failed to launch updated exe: %s", exc)
    time.sleep(0.5)
    os._exit(0)
 def _maybe_do_update(cfg: dict, is_exiting) -> None:
    if not cfg.get("check_updates", True):
        return
    def _work():
        time.sleep(1.5)
        if is_exiting():
            return
        try:
            from proxy import __version__
            from utils.update_check import RELEASES_PAGE_URL, get_status, get_update_asset, run_check
            run_check(__version__)
            st = get_status()
            if not st.get("has_update") or is_exiting():
                return
            url = (st.get("html_url") or "").strip() or RELEASES_PAGE_URL
            ver = st.get("latest") or "?"
            asset = get_update_asset(Path(sys.executable)) if IS_FROZEN else None
            choice = update_ctk_form(
                f"Доступна новая версия: {ver}",
                download_url=asset[0] if asset else None,
                release_url=url,
            )
            if choice == "open":
                webbrowser.open(url)
        except Exception as exc:
            log.warning("Update check failed: %s", repr(exc))
    threading.Thread(target=_work, daemon=True, name="update-check").start()
 # autostart (registry)
 _RUN_KEY = r"Software\Microsoft\Windows\CurrentVersion\Run"
@@ -179,7 +443,11 @@ def _on_edit_config(icon=None, item=None) -> None:
 def _on_open_logs(icon=None, item=None) -> None:
    log.info("Opening log file: %s", LOG_FILE)
    if LOG_FILE.exists():
-        os.startfile(str(LOG_FILE))
+        try:
            os.startfile(str(LOG_FILE))
        except Exception as exc:
            log.error("Failed to open log file: %s", exc)
            _show_error(f"Не удалось открыть файл логов:\n{exc}")
    else:
        _show_info("Файл логов ещё не создан.")
@@ -228,16 +496,31 @@ def _edit_config_dialog() -> None:
            autostart_value=cfg.get("autostart", False),
        )
        _original_appearance = ctk.get_appearance_mode()
        def _finish() -> None:
            root.destroy()
            done.set()
        def _cancel() -> None:
            ctk.set_appearance_mode(_original_appearance)
            _finish()
        def on_save() -> None:
            from tkinter import messagebox
            merged = validate_config_form(widgets, DEFAULT_CONFIG, include_autostart=_supports_autostart())
            if isinstance(merged, str):
                messagebox.showerror("TG WS Proxy — Ошибка", merged, parent=root)
                return
            _ui_only_keys = {"appearance", "autostart", "check_updates"}
            config_changed = any(merged.get(k) != cfg.get(k) for k in merged)
            proxy_changed = any(merged.get(k) != cfg.get(k) for k in merged if k not in _ui_only_keys)
            if not config_changed:
                _finish()
                return
            save_config(merged)
            _config.update(merged)
            log.info("Config saved: %s", merged)
@@ -245,6 +528,10 @@ def _edit_config_dialog() -> None:
                set_autostart_enabled(bool(merged.get("autostart", False)))
            _tray_icon.menu = _build_menu()
            if not proxy_changed:
                _finish()
                return
            do_restart = messagebox.askyesno(
                "Перезапустить?",
                "Настройки сохранены.\n\nПерезапустить прокси сейчас?",
@@ -254,8 +541,8 @@ def _edit_config_dialog() -> None:
            if do_restart:
                threading.Thread(target=lambda: restart_proxy(_config, _show_error), daemon=True).start()
-        root.protocol("WM_DELETE_WINDOW", _finish)
+        root.protocol("WM_DELETE_WINDOW", _cancel)
-        install_tray_config_buttons(ctk, footer, theme, on_save=on_save, on_cancel=_finish)
+        install_tray_config_buttons(ctk, footer, theme, on_save=on_save, on_cancel=_cancel)
    ctk_run_dialog(_build)
@@ -321,7 +608,7 @@ def run_tray() -> None:
    _config = load_config()
-    if is_windows_dark_theme:
+    if is_windows_dark_theme():
        apply_windows_dark_theme()
    bootstrap(_config)
@@ -337,7 +624,7 @@ def run_tray() -> None:
        return
    start_proxy(_config, _show_error)
-    maybe_notify_update(_config, lambda: _exiting, _ask_yes_no)
+    _maybe_do_update(_config, lambda: _exiting)
    _show_first_run()
    check_ipv6_warning(_show_info)
@@ -350,13 +637,27 @@ def run_tray() -> None:
 def main() -> None:
-    if not acquire_lock("windows.py"):
+    if (mutex_result := _acquire_win_mutex()) is False or mutex_result is None and not acquire_lock():
        _show_info("Приложение уже запущено.", os.path.basename(sys.argv[0]))
        return
    if IS_FROZEN:
        def _cleanup_old_exes():
            exe_dir = Path(sys.executable).parent
            time.sleep(3)
            for _f in exe_dir.glob("*_oldtgws.exe"):
                try:
                    _f.unlink()
                    log.info("Deleted leftover: %s", _f)
                except OSError:
                    pass
        threading.Thread(target=_cleanup_old_exes, daemon=True, name="cleanup-old").start()
    try:
        run_tray()
    finally:
        release_lock()
        _release_win_mutex()
 if __name__ == "__main__":
Author	SHA1	Message	Date
Flowseal	b7cca232ea	Update CfWorker.md	2026-05-16 11:47:56 +03:00
Flowseal	0eebdff69e	Version bump	2026-05-16 11:32:48 +03:00
Flowseal	ab3bec967c	Update CfWorker.md	2026-05-16 11:32:12 +03:00
Flowseal	a16f7dfc0b	Update CfWorker.md	2026-05-16 11:31:21 +03:00
Flowseal	6f02fc1c46	remove cf priority flag, cf worker ui setup	2026-05-16 11:17:42 +03:00
Flowseal	884fffcc2f	cf worker mention in readme	2026-05-16 11:17:42 +03:00
Flowseal	09ce00b2e0	worker's code cleanup	2026-05-16 11:17:21 +03:00
Flowseal	362c5a4893	cloudflare worker implementation	2026-05-16 11:17:21 +03:00
Kira	bff67b3ecf	Docs/readme docker (#843 )	2026-05-13 09:20:10 +03:00
Flowseal	d5abfbf9c2	github connection fallback	2026-05-09 16:47:56 +03:00
Flowseal	8269ebe3bb	download ways mention on build's page	2026-05-08 20:42:31 +03:00
Flowseal	3770569789	revert version	2026-05-08 14:49:19 +03:00
Flowseal	e72a44d74b	github downloader fix	2026-05-08 14:36:54 +03:00
deexsed	33d3147c0b	fix: автоответы только для label "bug" (#826 )	2026-05-08 12:19:20 +03:00
Flowseal	e46cf138ac	new domains	2026-05-08 09:35:17 +03:00
Flowseal	145b0c431a	version bump	2026-05-08 09:32:07 +03:00
Flowseal	b991948a77	remove labels	2026-05-08 09:31:50 +03:00
Flowseal	42df9cfdc4	triage update	2026-05-08 09:31:26 +03:00
Flowseal	eabc0c9a15	docs update	2026-05-08 09:22:56 +03:00
Flowseal	ea88adc2dc	rpm build fixes	2026-05-08 09:19:23 +03:00
Sylvester Alderson	f554f730c2	linux rpm package, github actions (#726 )	2026-05-08 09:16:54 +03:00
deexsed	f85c4fe854	fix(config): добавлена валидация и надежный fallback для CF domain list (#799 )	2026-05-08 08:59:03 +03:00
Proger	b070647996	support TG_WS_PROXY_SECRET (#769 )	2026-05-08 08:54:45 +03:00
Konukhov Yaroslav	e3d2229f7f	Мелкие фиксы настроек и пара багов (#805 )	2026-05-08 08:54:30 +03:00
deexsed	1cbc7dee7d	Улучшена "архитектура" документации и настроен triage для issues (#801 )	2026-05-08 08:51:40 +03:00
delewer	1728fabfc7	docs(README): update preview image source with better visual (#817 )	2026-05-06 17:31:49 +03:00
deexsed	bf08bad11e	Fix --cfproxy-priority CLI parsing (#797 )	2026-04-30 13:29:43 +03:00
Kleshzz	a787b4fd6b	Update README.md (#796 )	2026-04-30 06:12:54 +03:00
Sanfix	2c577c1166	Update README.md (change service name in cli version) (#783 )	2026-04-28 17:38:37 +03:00
delewer	05b22fe3ba	docs(README): fix little typo bug (#778 )	2026-04-26 18:54:02 +03:00
Flowseal	cc00c6d040	Version bump	2026-04-26 16:58:48 +03:00
Flowseal	b3ed5c09db	Windows auto update	2026-04-26 16:58:17 +03:00
Flowseal	b8556dc702	fix #775	2026-04-26 16:26:50 +03:00
Flowseal	28be00ea9e	docs update	2026-04-19 17:32:54 +03:00
Flowseal	5795de00b1	Version bump	2026-04-18 18:59:46 +03:00
Flowseal	c5fa5b7f3e	fix: cfproxy user domain not set via CLI #741	2026-04-18 18:59:16 +03:00
Flowseal	a70e50b9f3	refactor	2026-04-18 16:58:49 +03:00
Flowseal	059ca8760f	moved some dubug logs to warning level	2026-04-18 15:49:42 +03:00
Flowseal	0c8d0f160a	better exception logging	2026-04-18 15:45:15 +03:00
Flowseal	791708cc3d	ws_blacklsit annotation fix	2026-04-18 15:25:11 +03:00
Flowseal	1abcbf86fe	gitignore clear	2026-04-18 15:23:56 +03:00
Flowseal	d84b9eadc4	version fix	2026-04-16 18:20:47 +03:00
Flowseal	c1b4cb0204	docs update	2026-04-16 18:01:48 +03:00
Flowseal	5d08e16e5d	removed repeated annotation	2026-04-16 17:56:48 +03:00
Flowseal	a844a88f38	docs update	2026-04-16 17:52:58 +03:00
Flowseal	e5f1d02737	docs links update	2026-04-16 17:51:41 +03:00
Flowseal	3a6e82c2a8	docs update	2026-04-16 17:50:32 +03:00
Flowseal	e56ada1a34	CF domains balancer	2026-04-16 17:08:03 +03:00
Flowseal	b44d79a933	docs update	2026-04-16 17:08:03 +03:00
Aksarin Mikhail	77723d875f	Update README.md (#711 ) Fix relative links	2026-04-16 00:29:58 +03:00
Flowseal	548ec05fc5	docs update	2026-04-14 21:56:14 +03:00
Flowseal	03c7719c39	mutex check simplify	2026-04-14 16:58:54 +03:00
Flowseal	db4cebe0b2	build test	2026-04-14 16:51:26 +03:00
Flowseal	ca81d037f7	docs update	2026-04-14 03:11:13 +03:00
Flowseal	07615af49c	bootloader build fix	2026-04-14 02:44:15 +03:00
Flowseal	f8ee37370d	Version bump	2026-04-14 00:27:27 +03:00
Flowseal	4cbb9e555c	windows mutex-lock	2026-04-14 00:27:27 +03:00
Flowseal	25ae4b0a24	build version changes	2026-04-14 00:27:27 +03:00
Kleshzz	8af1bc8c89	Add .gitattributes & Update .gitignore (#690 )	2026-04-13 19:30:57 +03:00