Loading...

CCcam Portweiterleitung: Beste Einrichtung& Konfigurationsanleitung

Wenn Sie CCcam oder OScam sauber in Ihrem LAN laufen haben — Server startet, Protokoll zeigt, dass es lauscht, lokale Clients ziehen ECMs gut — aber alles außerhalb Ihres Netzwerks erhält nichts als Zeitüberschreitungen, dann ist das fast immer ein Problem mit der Portweiterleitung, nicht ein Problem mit der CCcam-Konfiguration. Ich habe dieses Setup mehrmals debuggt, als ich zählen kann, und 90% der Zeit läuft es auf die gleichen wenigen Fehler hinaus: falscher Port, falsches Protokoll oder ein Router, der stillschweigend Double NAT macht. Diese Anleitung behandelt die besten Praktiken zur CCcam-Portweiterleitung von Grund auf — welchen Port man wählen sollte, wie man ihn richtig weiterleitet und wie man tatsächlich überprüft, ob es funktioniert, anstatt nur zu hoffen.

Wir werden die Routerkonfiguration, serverseitige Firewall-Regeln auf beiden Linux-Boxen und Enigma2-Empfängern sowie die Fehlersuche für die hässlichen Dinge — CGNAT, dynamische IPs, Double NAT — abdecken, die die meisten Tutorials vollständig überspringen.

Wie CCcam-Portweiterleitung tatsächlich funktioniert

Bevor Sie Ihren Router anfassen, verstehen Sie, was Sie tatsächlich weiterleiten und warum. Eine Weiterleitung ist nur eine Regel, die sagt: Wenn ein Paket an meiner öffentlichen IP auf Port X ankommt, senden Sie es an dieses spezifische Gerät in meinem LAN auf Port X. Nichts Mystisches daran. Den Port und das Protokoll falsch zu wählen, und keine Regel der Welt wird es beheben.

Der CCcam-Lauscheport und wo er definiert ist

Der Lauscheport Ihres CCcam-Servers befindet sich in/var/etc/CCcam.cfg (auf Enigma2-Boxen) oder/etc/CCcam.cfg auf einer Linux-Installation, unter der Zeile:

SERVER LISTEN PORT : 20500

Diese Zahl ist das, worauf sich alles downstream einigen muss — die Routerregel, jede Server-Firewallregel und das Portfeld in jeder Client-C: Zeile. Wenn Sie stattdessen OScam verwenden, befindet sich das Äquivalent in/etc/oscam/oscam.server unter dem newcamd-Block:

[newcamd]&01,0200:000000

Der@caid:ident Teil nach dem Port ist CAID/Provider-Filterung, nicht Teil des Ports — leiten Sie das nicht weiter, als wäre es ein Bereich.

TCP vs UDP: welches Protokoll verwenden CCcam newcamd/cccam

CCcams natives Protokoll läuft über TCP, Punkt. OScams newcamd und cs378x verwenden ebenfalls TCP. Der einzige Ausreißer ist OScams camd35 (cs357x) Protokoll, das UDP verwendet. Das ist wichtig, denn das Weiterleiten von TCP, wenn der Dienst auf UDP lauscht (oder umgekehrt), erzeugt einen Port, der in einigen Prüfern "offen" aussieht, aber niemals tatsächlich eine Verbindung herstellt. Protokoll und Dienst immer abgleichen.

LAN-IP vs WAN-IP und die Rolle von NAT

Ihr Router hat eine öffentliche (WAN) IP-Adresse, die von jedem Gerät dahinter geteilt wird. Ihr CCcam-Server hat eine private LAN-IP wie 192.168.1.50, die außerhalb Ihres Netzwerks bedeutungslos ist. NAT (Network Address Translation) ist die Aufgabe des Routers, Pakete zwischen diesen beiden Welten umzuschreiben. Eine Portweiterleitung ist eine manuelle Ausnahme, die Sie in diese Übersetzung eingeben: WAN:20500 → 192.168.1.50:20500.

Warum der Standardport 12000 eine schlechte Wahl ist

12000 ist der CCcam-Standard direkt nach dem Auspacken, was bedeutet, dass es auch der erste Port ist, den jeder automatisierte Scanner im Internet versucht, wenn er nach Cardsharing-Servern sucht. Auf 12000 zu laufen macht Ihr Setup nicht von sich aus unsicher, aber es zieht viel Lärm an — fehlgeschlagene Anmeldeversuche, Verbindungsfluten, Scanning-Verkehr — den Sie nicht brauchen. Wählen Sie etwas anderes.

Die beste Port- und Protokollwahl

Was ist also die tatsächliche Antwort hier? Wenn Leute nach den besten CCcam-Portweiterleitungs-Setups fragen, ist dies der Teil, den sie wirklich suchen — eine konkrete Zahl und eine konkrete Regel, nicht vage Ratschläge.

Empfohlener Portbereich und warum man niedrige/bekannte Ports vermeiden sollte

Wählen Sie einen einzelnen ungenutzten TCP-Port irgendwo im Bereich von 20000-50000. Alles unter 1024 ist ein bekannter Port, der für Standarddienste reserviert ist (berühren Sie diese nicht), und alles in der Nähe gängiger Standards wie 12000 oder 15000 wird ständig gescannt. Ich habe gute Ergebnisse erzielt, Server an Ports wie 23789 oder 41102 zu parken — wählen Sie im Grunde etwas, das keine runde Zahl ist und kein dokumentierter Standard. Es gibt keinen magisch "besten" einzelnen Port; die Sicherheit kommt von Unvorhersehbarkeit, nicht von einem bestimmten Wert.

Einzelner Port vs mehrere Ports für mehrere Protokolle

Wenn Sie nur CCcam ausführen, leiten Sie genau einen Port weiter, TCP. Wenn Sie OScam daneben mit mehreren Reader-Protokollen aktiviert haben — sagen wir cs378x auf 20500/TCP, newcamd auf 20501/TCP und camd35 auf 20502/UDP — leiten Sie jeden dieser Ports einzeln weiter, mit dem richtigen Protokoll pro Regel. Versuchen Sie nicht, Zeit zu sparen, indem Sie einen großen Bereich wie 20000-21000 "nur für den Fall" weiterleiten. Das öffnet viel mehr Angriffsfläche, als Sie benötigen, und macht es schwieriger, darüber nachzudenken, was tatsächlich exponiert ist.

Genaues Abgleichen von Client- und Serverport

Jede Client-Konfiguration hat eine Zeile wie:

C: myserver.ddns.net 20500 benutzername passwort

Dieser 20500 muss identisch mit demSERVER LISTEN PORTWert sein und identisch mit dem externen Port in der Weiterleitungsregel Ihres Routers. Wenn einer dieser drei nicht übereinstimmt — sagen wir, Sie haben den CCcam.cfg-Port geändert, nachdem die Clients bereits konfiguriert wurden — erhalten Sie stille Verbindungsfehler ohne nützliche Fehlermeldung auf beiden Seiten. Dies ist das häufigste "Warum funktioniert das nicht"-Problem, das ich sehe, und es ist auch zentral, um die besten Ergebnisse bei der CCcam-Portweiterleitung zu erzielen: drei Zahlen, ein Wert, keine Ausnahmen.

Statische interne IP, um die Weiterleitung stabil zu halten

Ihre Routerregel zeigt auf eine spezifische LAN-IP. Wenn Ihr CCcam-Server oder Enigma2-Empfänger seine Adresse über DHCP erhält, kann sich diese IP nach einem Neustart oder einer Lease-Erneuerung ändern — und Ihre Weiterleitung zeigt still auf das falsche Gerät oder gar nichts. Beheben Sie dies einmal: entweder eine statische IP auf dem Server selbst festlegen oder eine DHCP-Reservierung in Ihrem Router erstellen (bindet eine spezifische IP dauerhaft an die MAC-Adresse dieses Geräts). Ich bevorzuge DHCP-Reservierungen, da Sie die zentrale Kontrolle von der Router-Admin-Seite behalten, anstatt später durch Box-Konfigurationen zu suchen.

Schritt-für-Schritt-Router-Portweiterleitungs-Konfiguration

Hier ist die tatsächliche Anleitung, protokollunabhängig genug, um auf jeden Router anzuwenden, den Sie verwenden.

Finden der LAN-IP des Servers

Führen Sie auf der CCcam/OScam-Linux-Boxip addr show oderhostname -I aus. Überprüfen Sie bei einem Enigma2-Empfänger die Netzwerkeinstellungen im Menü oder SSH und führen Sieifconfig aus. Schreiben Sie diese IP auf — Sie benötigen sie für die Routerregel und idealerweise für die oben erwähnte DHCP-Reservierung.

Erstellen der NAT/virtuellen Serverregel

Melden Sie sich auf der Admin-Seite Ihres Routers an (normalerweise 192.168.1.1 oder 192.168.0.1) und suchen Sie nach Portweiterleitung, manchmal als virtueller Server, NAT-Weiterleitung oder Anwendungen&Gaming je nach Marke bezeichnet. Erstellen Sie eine neue Regel:

  • Externer/WAN-Port: Ihr gewählter Port (z.B. 20500)
  • Interner/LAN-Port: dieselbe Nummer, 20500
  • Protokoll: TCP (oder UDP, wenn das der spezifische Dienst benötigt)
  • Interne IP: die LAN-IP Ihres Servers aus dem vorherigen Schritt

Speichern und, bei den meisten Consumer-Routern, gilt dies ohne Neustart. Einige ältere Firmware benötigt einen Neustart, um neue NAT-Regeln zu übernehmen — wenn die Regel als gespeichert angezeigt wird, aber nicht funktioniert, starten Sie den Router neu, bevor Sie weiter nach Fehlern suchen.

Umgang mit doppeltem NAT und Bridge-Modus

Viele ISP-Setups haben ein Kombi-Modem/Router vor Ihrem eigenen Router, was bedeutet, dass zwei Schichten von NAT übereinander gestapelt sind. Wenn das Ihr Setup ist, bewirkt die Weiterleitung auf Ihrem eigenen Router allein nichts — Pakete gelangen nie über das ISP-Gerät hinaus. Sie haben zwei Optionen: den gleichen Port auf beiden Geräten weiterleiten (ISP-Modem leitet an die WAN-seitige IP Ihres Routers weiter, Ihr Router leitet an den Server weiter) oder das ISP-Modem in den Bridge-Modus versetzen, damit es das NAT vollständig stoppt und Ihrem Router die echte öffentliche IP übergibt. Der Bridge-Modus ist sauberer, wenn Ihr ISP ihn unterstützt — überprüfen Sie die Modem-Admin-Seite auf eine Einstellung "Bridge-Modus" oder "IP-Passthrough".

Überprüfen, ob der Port von außen offen ist

Dies ist der Schritt, den die Leute überspringen, und deshalb jagen sie Geistern nach. Tests von einem Gerät in Ihrem eigenen LAN beweisen nichts — LAN-Verkehr berührt niemals die Weiterleitungsregel. Sie müssen von wirklich außerhalb Ihres Netzwerks testen. Schalten Sie Ihr Telefon auf mobile Daten (WLAN aus) und führen Sie aus:

nc -vz your_wan_ip 20500

oder verwenden Sie telnet, wenn netcat nicht installiert ist. Eine erfolgreiche Verbindung bestätigt die gesamte Kette — Router und NAT — funktioniert tatsächlich von außen. Wenn das hängt oder sich weigert, liegt das Problem stromaufwärts Ihres Servers, nicht in CCcam selbst.

Firewall-Regeln auf dem Server (Linux/Enigma2)

Die Routerweiterleitung bringt Sie zur Hälfte. Wenn die Box selbst eine Firewall ausführt, benötigt derselbe Port eine explizite Erlaubnisregel oder die Pakete werden direkt am Ziel verworfen.

iptables-Regel zur Erlaubnis des CCcam-Ports

iptables -A INPUT -p tcp --dport 20500 -j ACCEPT

Passen Sie den Port an und tauschen Sietcp gegenudp wenn du stattdessen einen camd35-Port öffnest.

ufw / firewalld-Äquivalente

Auf Ubuntu/Debian mit ufw:

 ufw allow 20500/tcp

Auf CentOS/RHEL/Fedora mit firewalld:

 firewall-cmd --permanent --add-port=20500/tcp

Firewall-Überlegungen für Enigma2-Receiver

Die meisten Enigma2-Images (OpenATV, OpenPLi und ähnliche) werden standardmäßig ohne aktive Firewall ausgeliefert, sodass, wenn dein CCcam-Server auf dem Receiver selbst läuft, die Portweiterleitung des Routers normalerweise ausreicht. Wo dies die Leute durcheinanderbringt, ist, wenn CCcam stattdessen auf einem separaten VPS oder dedizierten Linux-Server läuft — diese haben fast immer iptables, ufw oder firewalld aktiv, und es ist leicht, die serverseitige Regel zu vergessen, wenn man sich auf den Router konzentriert.

Regeln über einen Neustart hinweg beibehalten

Roh-IPTables-Regeln verschwinden beim Neustart, es sei denn, du speicherst sie:

 iptables-save > /etc/iptables/rules.v4

Auf Debian/Ubuntu, installiere iptables-persistent (oder benutze netfilter-persistent save), damit rules.v4 beim Booten automatisch geladen wird. ufw und firewalld speichern ihre Regeln standardmäßig, daher ist dies hauptsächlich ein spezifisches Problem von iptables.

Fehlersuche bei Verbindungsproblemen

Arbeite dies der Reihe nach von innen nach außen durch. Springe nicht zu "mein ISP blockiert mich", bevor du nicht zuerst die Grundlagen auf deinem eigenen Gerät überprüft hast.

Port offen, aber Client zeigt offline

Zuerst, bestätige, dass CCcam tatsächlich auf dem Port hört, von dem du denkst, dass es so ist:

 ss -tlnp | grep 20500

oder das ältere Äquivalent, netstat -tlnp | grep 20500. Wenn nichts angezeigt wird, läuft CCcam entweder nicht, ist abgestürzt oder ist so konfiguriert, dass es auf einem anderen Port hört, als du angenommen hast — überprüfe die CCcam.cfg erneut. Wenn es hört, bestätige, dass die Routerregel und die Firewallregel beide auf denselben Port und das gleiche Protokoll verweisen, und teste dann extern erneut mit der nc/telnet-Methode von zuvor.

CGNAT / Carrier-Grade NAT (100.64.x.x WAN)

Dies ist das, was im Jahr 2026 mehr Menschen durcheinanderbringt als alles andere auf dieser Liste, und es ist das, was die meisten besten Anleitungen zur Portweiterleitung für CCcam nie erwähnen. Carrier-Grade NAT bedeutet, dass dein ISP dich hinter einer gemeinsamen öffentlichen IP-Adresse zusammen mit Hunderten von anderen Kunden platziert hat — du hast überhaupt keine einzigartige öffentliche Adresse, sodass keine Weiterleitungsregel, die du konfigurierst, jemals funktionieren kann, egal wie korrekt du sie einrichtest.

Überprüfe dies: Melde dich bei deinem Router an und schaue dir die WAN-IP an, die er meldet. Überprüfe dann separat whatismyip.com von einem Browser in deinem Netzwerk. Wenn die WAN-IP des Routers im Bereich 100.64.0.0/10 liegt oder einfach nicht mit dem übereinstimmt, was dir whatismyip zeigt, bist du hinter CGNAT. Deine Optionen sind: Rufe deinen ISP an und frage nach einer statischen öffentlichen IP (einige bieten dies als kostenpflichtige Zusatzleistung an) oder richte eine Rückverbindungsvereinbarung oder einen VPS ein, der als Relay/Tunnel fungiert, mit dem sich Clients anstelle deiner Heim-IP verbinden.

Dynamische öffentliche IP und DDNS

Selbst ohne CGNAT vergeben die meisten Wohn-ISPs eine öffentliche IP, die sich periodisch ändert — Modemneustart, ISP-Wartung, Ablauf des Mietvertrags. Wenn deine Clients auf eine IP-Adresse fest codiert sind, werden sie beim nächsten Wechsel nicht mehr funktionieren. Richte DDNS (Dynamic DNS) ein — die meisten Router haben einen integrierten Client für Dienste wie No-IP oder DuckDNS — damit du einen Hostnamen wie myserver.ddns.net erhältst, der automatisch aktualisiert wird. Weise deinem Client C: Zeilen auf den Hostnamen anstelle einer rohen IP zu und dieses Problem verschwindet.

ISP blockiert und Port bereits in Benutzung

Eine kleine Anzahl von ISPs blockiert eingehenden Verkehr auf bestimmten Portbereichen vollständig, normalerweise die bekannten Bereiche unter 1024 — ein weiterer Grund, im zuvor empfohlenen hohen Portbereich zu bleiben. Separat, wenn CCcam unsauber neu gestartet wurde (Absturz, kill -9, Stromausfall bei einer Enigma2-Box), kannst du mit einem doppelten Prozess enden, der den Port hält, was "Adresse bereits in Benutzung" im Protokoll erzeugt. Überprüfe mit ps aux | grep CCcam und beende den veralteten Prozess mit killall CCcam bevor du eine neue Instanz startest. Es ist auch ratsam, sicherzustellen, dass du nicht sowohl CCcam als auch OScam konfiguriert hast, um gleichzeitig auf demselben Port zu hören — das ist eine selbstverschuldete Version desselben Konflikts.

Auswahl eines zuverlässigen Linienanbieters (Kriterien, nicht Namen)

Keine der oben genannten Weiterleitungs-Konfigurationen ist wichtig, wenn die Linie, die deinen Server speist, unzuverlässig ist. Ich werde dich hier nicht auf spezifische Anbieter hinweisen — dafür ist dieser Leitfaden nicht gedacht — aber hier ist, was tatsächlich eine solide Linie von einer unzuverlässigen trennt, basierend auf dem, wonach ich suche.

Betriebszeit und Serverstandort im Verhältnis zu dir

Konstante Betriebszeiten sind wichtiger als die Anzahl der Kanäle. Ein Anbieter mit weniger Kanälen, der zuverlässig online bleibt, schlägt einen mit einer riesigen Auswahl, der alle paar Stunden ausfällt. Auch die Servergeografie ist wichtig — eine Leitung, die näher bei Ihnen gehostet wird, bedeutet in der Regel eine geringere Latenz bei ECM-Anfragen, was sich in schnellerem Zappen und weniger Aussetzern zeigt.

Protokollunterstützung und Wiederverhalten

Stellen Sie sicher, dass das, was Sie bewerten, tatsächlich das Protokoll unterstützt, für das Sie eingerichtet sind — newcamd, cccam oder beides — und überprüfen Sie, wie es sich nach einer kurzen Netzwerkunterbrechung beim Wiederverbinden verhält. Ein gut geführter Server verbindet sich sauber wieder und setzt fort; ein schlecht geführter erfordert manuelle Eingriffe oder trennt Sie für längere Zeit nach jedem Hiccup.

Welche Warnsignale sollten vermieden werden

Achten Sie auf häufige Aussetzer beim Kanalwechsel, erzwungene Wiederverbindungen zu ungewöhnlichen Zeiten und Ports, die ohne Vorankündigung oder Erklärung wechseln. Dies sind Anzeichen dafür, dass ein Server über zu viele Wiederverkäufer jongliert wird oder auf instabiler Infrastruktur läuft. Wenn der Support nicht reagiert, wenn etwas kaputt geht, ist das normalerweise ein Vorgeschmack darauf, wie der nächste Ausfall verlaufen wird.

Was ist der beste Port für CCcam-Portweiterleitung?

Es gibt keine einzige magische Zahl. Wählen Sie einen ungenutzten hohen TCP-Port, ungefähr im Bereich von 20000-50000, und vermeiden Sie den Standardport 12000 sowie andere bekannte niedrige Ports, da diese ständig gescannt werden. Die einzige feste Regel ist, dass der weitergeleitete externe Port, der Listenport des Servers und der Port in jeder C: Zeile des Clients genau übereinstimmen müssen.

Verwendet CCcam TCP oder UDP?

Das Protokoll von CCcam läuft über TCP. Wenn Sie auch OScam verwenden, beachten Sie, dass camd35 (cs357x) UDP verwendet, während cs378x und newcamd beide TCP verwenden — leiten Sie das richtige Protokoll für den Dienst weiter, den Sie bereitstellen, da eine Fehlanpassung zu stillen Fehlern führt.

Warum können externe Clients nicht verbinden, obwohl der Port weitergeleitet ist?

Die üblichen Verdächtigen sind: CCcam hört tatsächlich nicht auf diesem Port (überprüfen Sie mit ss -tlnp), eine serverseitige Firewall blockiert den Verkehr, Sie sind hinter doppeltem NAT, Ihr ISP verwendet CGNAT oder Ihre öffentliche IP hat sich geändert und nichts verfolgt es. Arbeiten Sie sich durch jede Schicht vom Server nach außen, anstatt zu raten.

Wie leite ich einen CCcam-Port weiter, wenn mein ISP CGNAT verwendet?

Die Standard-Portweiterleitung kann unter CGNAT physisch nicht funktionieren, da Sie keine eindeutige öffentliche IP haben, an die weitergeleitet werden kann. Überprüfen Sie die WAN-IP Ihres Routers mit whatismyip.com — wenn sie nicht übereinstimmen oder der Router eine Adresse im Bereich 100.64.0.0/10 anzeigt, sind Sie hinter CGNAT. Fragen Sie von dort aus Ihren ISP nach einer statischen öffentlichen IP als Zusatz oder richten Sie stattdessen ein VPS-Relay/Tunnel oder eine Rückverbindungsanordnung ein.

Muss ich einen Portbereich öffnen oder nur einen Port?

Ein einzelner CCcam-Server benötigt nur seinen einen Listenport — nicht mehr. Ein Bereich ist nur relevant, wenn Sie mehrere Protokolle oder mehrere Serverinstanzen auf verschiedenen Ports betreiben, und selbst dann sollten Sie jeden spezifischen Port einzeln weiterleiten, anstatt einen breiten Bereich zu öffnen.

Wie kann ich testen, ob mein CCcam-Port aus dem Internet erreichbar ist?

Verlassen Sie zuerst Ihr Heimnetzwerk — schalten Sie Ihr Telefon auf mobile Daten — führen Sie dann nc -vz your_wan_ip port aus oder verwenden Sie telnet oder überprüfen Sie mit einem Online-Portprüfungswerkzeug. Auf der Serverseite bestätigen Sie, dass CCcam tatsächlich mit ss -tlnp oder netstat -tlnp | grep port hört, bevor Sie annehmen, dass die Netzwerkschicht das Problem ist.