Add Habr article, LICENSE, CI/CD workflow

Made-with: Cursor:
2026-03-16 23:56:40 +03:00 · 2026-03-16 23:56:40 +03:00 · 7d7a519365
parent d0646af85d
commit 7d7a519365
1 changed files with 307 additions and 0 deletions
--- a/HABR_ARTICLE.md
+++ b/HABR_ARTICLE.md
@ -0,0 +1,307 @@
 # Как я написал обход блокировки Telegram на Rust — без VPN, без серверов, через WebSocket
 **Простой · 7 мин · Rust · Open source · Windows · Сетевые технологии · Из песочницы**
 **TL;DR:** Написал open-source десктопное приложение **TG Unblock** на Rust, которое в один клик обходит блокировку Telegram через локальный WebSocket-прокси. Трафик заворачивается в обычный HTTPS к `web.telegram.org` — DPI не видит MTProto, провайдер не может шейпить. Без VPN, без серверов, без абонентки. Код на GitHub — [by-sonic/tglock](https://github.com/by-sonic/tglock).
 ---
 ## Предыстория: почему GoodbyeDPI не спасает
 С весны 2025 года Telegram в России стал работать, мягко говоря, через боль. Сообщения доходят по 10 секунд, медиа не грузятся, звонки рвутся. Классическая картина: провайдер + DPI = страдания.
 Первое, что приходит в голову — **GoodbyeDPI**. Запустил, пакеты фрагментируются, DPI не узнаёт MTProto... и вроде работает. Но:
 - **Пинг 200+ мс** — при норме 40–60
 - **Постоянные переподключения** — DPI переобучается и режет соединения
 - **IP-шейпинг** — провайдер троттлит весь трафик к подсетям Telegram (149.154.x.x, 91.108.x.x)
 GoodbyeDPI обманывает DPI на уровне пакетов, но **не решает проблему IP-шейпинга**. Если провайдер тупо режет скорость ко всем IP Telegram — хоть как фрагментируй, будет медленно.
 VPN — вариант. Но:
 - Платные стоят денег и сливают скорость
 - Бесплатные сливают данные
 - Не все работают стабильно
 - Для одного Telegram гонять весь трафик через VPN — оверкилл
 Нужно решение, которое **маскирует сам факт подключения к Telegram**, а не просто прячет протокол.
 ## Идея: WebSocket-туннель через web.telegram.org
 Я провёл серию тестов. Прямое подключение к серверам Telegram (149.154.167.51:443) — либо таймаут, либо 200+ мс. А вот `web.telegram.org` отвечает стабильно за 50–80 мс через HTTPS. Провайдер его не трогает — это же «обычный сайт».
 И тут я полез в [документацию MTProto](https://core.telegram.org/mtproto/transports) и нашёл золотую жилу:
 > **WebSocket:** Implementation of the WebSocket transport is pretty much the same as with TCP... all data received and sent through WebSocket messages is to be treated as a single duplex stream of bytes, just like with TCP.
 Telegram **официально поддерживает WebSocket-транспорт**. Серверы `pluto.web.telegram.org`, `venus.web.telegram.org` и т.д. — это не просто веб-клиент. Это **полноценные точки входа в сеть Telegram** через WSS.
 Схема:
 ```
 Telegram Desktop
       │
       ▼ SOCKS5
 ┌──────────────────┐
 │   TG Unblock     │  127.0.0.1:1080
 │   WS-прокси      │
 └──────┬───────────┘
       │
       ├── IP Telegram? ──► WSS к {dc}.web.telegram.org/apiws
       │                    (провайдер видит: HTTPS к web.telegram.org)
       │
       └── Другой IP? ────► Прямой TCP (без изменений)
 ```
 Провайдер видит:
 - Соединение к `venus.web.telegram.org` по порту 443
 - Обычный TLS/HTTPS трафик
 - Никакого MTProto
 DPI видит:
 - Ничего подозрительного
 - Обычный WebSocket внутри HTTPS
 Результат:
 - **Полная скорость** — провайдер не шейпит web.telegram.org
 - **Нет переподключений** — DPI не трогает HTTPS
 - **Нулевая задержка** — нет промежуточных серверов, трафик идёт напрямую к Telegram
 ## Реализация: Rust, SOCKS5, WebSocket
 ### Почему Rust?
 Не Electron. Не Python. Не Node.js. **Rust.** Потому что:
 - Один бинарник ~6 МБ, без зависимостей
 - Нативная скорость — прокси не должен добавлять задержку
 - Async I/O через tokio — тысячи одновременных соединений
 - Компилируется, запускается, работает
 ### Архитектура
 Приложение состоит из 4 модулей:
 | Модуль | Что делает |
 |---|---|
 | `main.rs` | GUI на egui + управление прокси |
 | `ws_proxy.rs` | SOCKS5-сервер + WebSocket-туннель |
 | `bypass.rs` | DNS-настройка, системные утилиты |
 | `network.rs` | Сетевая диагностика |
 ### SOCKS5 → WebSocket: как это работает
 Когда Telegram Desktop подключается через SOCKS5-прокси, происходит следующее:
 **1. SOCKS5 handshake**
 ```rust
 // Клиент: [0x05, 0x01, 0x00] — SOCKS5, 1 метод, no auth
 // Сервер: [0x05, 0x00] — принято
 // Клиент: [0x05, 0x01, 0x00, 0x01, IP, PORT] — CONNECT к IP:PORT
 ```
 **2. Определение DC по IP**
 Telegram использует фиксированные подсети для каждого Data Center. Из [документации](https://core.telegram.org/mtproto/transports):
 ```rust
 fn telegram_dc(ip: Ipv4Addr) -> Option<u8> {
    let o = ip.octets();
    match (o[0], o[1]) {
        (149, 154) => Some(match o[2] {
            160..=163 => 1,  // DC1
            164..=167 => 2,  // DC2
            168..=171 => 3,  // DC3
            172..=175 => 1,  // DC1 alt
            _ => 2,
        }),
        (91, 108) => Some(match o[2] {
            56..=59 => 5,    // DC5
            8..=11 => 3,     // DC3
            12..=15 => 4,    // DC4
            _ => 2,
        }),
        (91, 105) => Some(2),
        (185, 76) => Some(2),
        _ => None,
    }
 }
 ```
 **3. WebSocket-туннель**
 Каждый DC имеет именованный WebSocket-эндпоинт (имена из официальной документации Telegram):
 | DC | Имя | URL |
 |---|---|---|
 | 1 | Pluto | `wss://pluto.web.telegram.org/apiws` |
 | 2 | Venus | `wss://venus.web.telegram.org/apiws` |
 | 3 | Aurora | `wss://aurora.web.telegram.org/apiws` |
 | 4 | Vesta | `wss://vesta.web.telegram.org/apiws` |
 | 5 | Flora | `wss://flora.web.telegram.org/apiws` |
 Обязательный заголовок (из доки Telegram): `Sec-WebSocket-Protocol: binary`.
 ```rust
 let mut request = ws_url.as_str().into_client_request()?;
 request.headers_mut().insert(
    "Sec-WebSocket-Protocol", "binary".parse()?,
 );
 let (ws, _) = tokio_tungstenite::connect_async_tls_with_config(
    request, None, false, Some(connector),
 ).await?;
 ```
 **4. Двунаправленный relay**
 Ключевая цитата из документации Telegram:
 > All data received and sent through WebSocket messages is to be treated as a **single duplex stream of bytes**, just like with TCP.
 Это значит, что нам не нужно парсить MTProto. Просто relay байтов: TCP → WebSocket binary frame, WebSocket binary frame → TCP.
 ```rust
 let up = async {
    let mut buf = vec![0u8; 32768];
    loop {
        match tcp_rx.read(&mut buf).await {
            Ok(0) => break,
            Ok(n) => {
                let msg = Message::Binary(buf[..n].to_vec());
                if ws_tx.send(msg).await.is_err() { break; }
            }
            Err(_) => break,
        }
    }
 };
 let down = async {
    while let Some(Ok(msg)) = ws_rx.next().await {
        if let Message::Binary(data) = msg {
            if tcp_tx.write_all(&data).await.is_err() { break; }
        }
    }
 };
 tokio::select! { _ = up => {}, _ = down => {} }
 ```
 ### GUI: egui, не Electron
 Нативный GUI через `egui` / `eframe`. Никакого браузера, никакого DOM, никакого JavaScript. Вся отрисовка — immediate mode, 60 FPS.
 Кнопка «Запустить обход» делает:
 1. Меняет DNS на Cloudflare (1.1.1.1) — обходит DNS-блокировку
 2. Запускает SOCKS5-прокси на 127.0.0.1:1080
 3. Предлагает автонастройку Telegram через `tg://socks?server=127.0.0.1&port=1080`
 Кнопка «Настроить автоматически» — открывает Telegram Desktop с готовой конфигурацией прокси. Один клик.
 ## Технические детали, которые пришлось решить
 ### Проблема 1: Не-Telegram трафик
 Если Telegram Desktop пускает через SOCKS5 не только MTProto, но и запросы к CDN, стикер-серверам, обновлениям — их нельзя заворачивать в WebSocket. Решение: проверяем IP по маппингу Telegram-подсетей. Telegram IP → WebSocket. Всё остальное → прямой TCP passthrough.
 ### Проблема 2: Определение DC
 Telegram Desktop использует obfuscated2 транспорт. Первые 64 байта — зашифрованный хендшейк, в котором закодирован DC ID. Парсить его — целый проект.
 Решение проще: определяем DC по destination IP. Telegram использует фиксированные подсети для каждого DC — маппинг стабильный и документированный.
 ### Проблема 3: TLS к WebSocket-эндпоинтам
 WebSocket-соединение идёт через WSS (TLS). Используем `native-tls` — системные сертификаты Windows, без привязки к OpenSSL.
 ```rust
 let connector = tokio_tungstenite::Connector::NativeTls(
    native_tls::TlsConnector::new()?,
 );
 ```
 ### Проблема 4: Graceful shutdown
 При остановке прокси нужно:
 - Сбросить DNS обратно на DHCP
 - Корректно закрыть все WebSocket-соединения
 - Не оставить Telegram без связи
 Используем `AtomicBool` для флага остановки — все задачи проверяют его и завершаются.
 ## Сравнение с альтернативами
 | | GoodbyeDPI | Zapret | VPN | **TG Unblock** |
 |---|---|---|---|---|
 | Подход | Фрагментация пакетов | Desync пакетов | Туннель через сервер | WebSocket-туннель |
 | DPI видит MTProto? | Нет | Нет | Нет | **Нет** |
 | IP-шейпинг? | Не обходит | Не обходит | Обходит | **Обходит** |
 | Нужен сервер? | Нет | Нет | Да | **Нет** |
 | Скорость | Зависит от DPI | Зависит от DPI | Зависит от сервера | **Полная** |
 | Весь трафик? | Нет | Нет | Да | **Только Telegram** |
 | Стоимость | Бесплатно | Бесплатно | $3–10/мес | **Бесплатно** |
 ## Стек
 | Технология | Зачем |
 |---|---|
 | **Rust** | Скорость, один бинарник, без зависимостей |
 | **egui / eframe** | Нативный GUI без браузера |
 | **tokio** | Async I/O, тысячи соединений |
 | **tokio-tungstenite** | WebSocket-клиент с TLS |
 | **native-tls** | Системные сертификаты Windows |
 | **GitHub Actions** | CI/CD — автобилд при новом теге |
 ## Цифры
 - **5 DC** — полный маппинг всех Telegram Data Center
 - **1 бинарник** — ~6 МБ, без зависимостей
 - **0 серверов** — всё работает локально
 - **0₽** — полностью бесплатно и open-source
 - **1 клик** — от запуска до работающего Telegram
 ## Как попробовать
 ### Скачать готовый .exe
 1. Скачайте `tg_unblock.exe` из [Releases](https://github.com/by-sonic/tglock/releases)
 2. Запустите (желательно от администратора — для DNS)
 3. Нажмите **«Запустить обход»**
 4. Нажмите **«Настроить автоматически»**
 5. В Telegram нажмите «Подключить»
 ### Собрать из исходников
 ```bash
 git clone https://github.com/by-sonic/tglock.git
 cd tglock
 cargo build --release
 # Бинарник: target/release/tg_unblock.exe
 ```
 ## Что дальше
 - **Автоопределение DC из obfuscated2** — парсинг первых 64 байт для точного маппинга
 - **Fallback на GoodbyeDPI** — если WebSocket-эндпоинт недоступен
 - **Linux / macOS** — porability через tokio + egui (уже почти готово)
 - **Статистика** — скорость, задержка, количество туннелей в реальном времени
 ## Вместо заключения
 Telegram — это не просто мессенджер. Для миллионов людей это рабочий инструмент, канал связи, источник информации. Когда он работает через боль — страдают все.
 GoodbyeDPI — отличный инструмент, но у него есть потолок. Когда DPI побеждён, а трафик всё равно шейпится — нужен другой подход. WebSocket-туннель через `web.telegram.org` — это как проехать мимо камеры на легальной машине вместо того, чтобы заклеивать номера.
 Код полностью открыт. Если пригодился — поставьте звезду на GitHub. Если нашли баг — PR приветствуются.
 **GitHub:** [github.com/by-sonic/tglock](https://github.com/by-sonic/tglock)
 **P.S.** Если нужен полный обход блокировок для всех приложений (YouTube, Discord, Instagram и др.) — попробуйте [by sonic VPN](https://t.me/bysonicvpn_bot). Быстрый, стабильный, без ограничений скорости.
 ---
 *by sonic*
 **Теги:** telegram, dpi bypass, websocket, rust, socks5, mtproto, обход блокировок, open-source
 **Хабы:** Rust · Open source · Windows · Сетевые технологии