Как настроить работу Telegram через Squid HTTPS Proxy ???

Question

[frolov4ynga]

Добрый вечер!
Очень нужна помощь.
Может быть уже кто-нибудь сталкивался с подобным.
Развернут прозрачный Squid HTTPS Proxy, все работает, доступ в сеть есть, но вот проблема, Telegram Desktop не может подключиться.
Как разрешить работу Telegram Desktop?
По этой проблеме нашел только https://wiki.squid-cache.org/ConfigExamples/Chat/T...
Но не сработало. Может я делаю что-то не так? или нужна еще какая-нибудь настройка?

Конфиг squid'а:
acl localnet src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl blacklist url_regex -i "/etc/squid/blacklist"

http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow CONNECT
http_access deny blacklist
http_access allow all

http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squid.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl blacklist_ssl ssl::server_name_regex -i "/etc/squid/blacklist_ssl"
acl whitelist_ssl ssl::server_name_regex -i "/etc/squid/whitelist_ssl"
acl step1 at_step SslBump1

ssl_bump peek step1
ssl_bump terminate blacklist_ssl

ssl_bump splice whitelist_ssl
acl NoSSLIntercept ssl::server_name_regex -i "/etc/squid/acl.url.nobump"
ssl_bump splice all

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

#Кэш
cache_mem 512 MB
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
cache_dir aufs /var/spool/squid 2048 16 256

#Лог
access_log daemon:/var/log/squid/access.log squid
logfile_rotate 30

coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

/usr/local/squid/etc/acl.url.nobump

# Telegram
149\.154\.1(6[0-9]|7[0-5])\.(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])
91\.108\.([4-7]|5[6|7])\.(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])

Comments

[Alexey Dmitriev]

Почему бы не запустить готовый docker контейнер c официальным прокси MTProto на том же сервере с Squid - https://hub.docker.com/r/telegrammessenger/proxy/

Answer 1

[akelsey]

И клиент банки работают? С MITM? По всей видимости никак, Дуров уж наверняка в протоколе предусмотрел MITM.
PS
Есть воркэраунд: Убрать перехват ssl трафика.

Answer 2

[CityCat4]

Не вижу применения ACL NoSSLIntercept.
Возможно, там принципиально нестандартный протокол, тика как в QUIK (который на любую попытку бампинга просто дропает соединение и все)

Answer 3

[EvgenyMorozov]

А есть возможность рядом со сквидом поставить Telegram MTProxy?

Answer 4

[loderunner84]

заворачивать трафик к серверам тг мимо сквид на роутере