Configuración de la clave DES de MGCamd: newcamd.list& Guía de configuración

Si estás aquí, ya tienes MGCamd instalado, tienes las credenciales del servidor en mano y algo está roto. La configuración de la clave DES de mgcamd es donde la mayoría de las personas se encuentran con un obstáculo, no porque el concepto sea difícil, sino porque un carácter incorrecto en un campo incorrecto arruina todo el apretón de manos. Esta guía explica exactamente dónde va la clave, qué hace y cómo leer tus registros para distinguir un error de clave de cualquier otro tipo de fallo.

Qué es la clave DES y por qué MGCamd la necesita

MGCamd se comunica con servidores de tarjetas utilizando el protocolo newcamd. Ese protocolo utiliza cifrado Triple-DES para proteger la conexión durante el inicio de sesión, específicamente para cifrar el apretón de manos inicial y los datos de la sesión subsiguiente. La clave DES es el secreto compartido que hace que ese cifrado funcione. Ambas partes necesitan la misma clave, o el apretón de manos produce basura y la conexión se pierde.

Esta no es tu contraseña. No es tu nombre de usuario. Esos son campos separados. La gente confunde esto constantemente, y es una de las principales razones por las que un archivo de configuración que parece casi correcto aún falla.

El papel de la clave DES en el protocolo newcamd

Cuando MGCamd se conecta a un servidor newcamd, no envía credenciales en texto plano. El servidor y el cliente utilizan la clave DES para establecer un canal cifrado antes de que se intercambie cualquier otra cosa. Si la clave no coincide en ambos lados, ninguna de las partes puede descifrar lo que la otra envía. Desde la perspectiva del cliente, la conexión TCP se abre y luego se cierra, sin mensaje de error, sin intento de autenticación, solo silencio.

La clave se configura del lado del servidor, ya sea en el archivo deoscam.server de OScam o en la configuración de un servidor CCcam. Lo que tenga el servidor, tu cliente debe tener exactamente eso.

Dónde se encuentra la clave en el apretón de manos CWS

La secuencia es: conexión TCP → el servidor envía un desafío aleatorio cifrado con la clave DES → el cliente lo descifra y responde con credenciales → el servidor valida y acepta o rechaza. Si la clave DES es incorrecta, el descifrado de ese primer desafío falla. El cliente envía de vuelta tonterías y el servidor cierra la conexión. Ni siquiera llegas a la verificación de nombre de usuario/contraseña. Por eso una mala clave DES se ve idéntica a "conexión rechazada" desde el exterior: el apretón de manos TCP tiene éxito, pero el apretón de manos de autenticación newcamd no.

Por qué debe tener exactamente 28 caracteres hexadecimales (14 bytes)

Triple-DES con una clave de 14 bytes es lo que requiere la especificación newcamd. 14 bytes × 2 caracteres hexadecimales por byte = 28 caracteres. No 26, no 30. Si tu clave tiene 27 caracteres, la pegaste mal. Si tiene 29, hay un carácter adicional escondido en algún lugar. MGCamd rechazará la clave de inmediato o la truncará/padeará en silencio; ambos resultados rompen la conexión.

Los caracteres válidos son 0–9 y A–F (o a–f). Eso es todo. Si ves una letra minúscula fuera de ese rango, o algo que parece un 1 pero en realidad es una l, tienes un error tipográfico.

Editando newcamd.list: Formato exacto de línea

La línea CWS canónica se ve así:

CWS = hostname port username password 0102030405060708091011121314

Cada campo está separado por un solo espacio. Sin tabulaciones, sin dobles espacios, sin comillas alrededor de nada. La clave DES es elúltimo campo. La mayoría de las guías que he visto pegan una línea de muestra pero nunca etiquetan los campos, así que la gente coloca la clave en el espacio de la contraseña y se pregunta por qué nada funciona.

Anatomía de una línea CWS =

Desglosándolo de izquierda a derecha:

• CWS — la palabra clave de directiva, siempre en mayúsculas
• = — signo igual literal con espacios alrededor
• hostname — la dirección IP o FQDN del servidor
• port — puerto TCP, comúnmente 15000, 15001 o 17000
• username — tu nombre de cuenta en el servidor
• password — tu contraseña de cuenta (texto plano aquí)
• clave DES — 28 caracteres hexadecimales, sin espacios dentro de la clave misma

Seis campos después del signo igual. La clave es el campo seis. No el campo cuatro, no el campo cinco.

Orden de los campos: host, puerto, usuario, contraseña, clave DES

Si tus credenciales provienen de un panel web, a veces se presentan en una tabla con columnas en un orden diferente al que espera la línea CWS. Pegar columna por columna desde un panel mal diseñado es donde ocurren las transposiciones. Lee las columnas, escribe la línea manualmente en el orden correcto. Toma treinta segundos y ahorra una hora de depuración.

Ejemplo de línea con marcadores de posición

CWS = cardserver.example.net 15000 myuser mypassword 0A1B2C3D4E5F6A7B8C9D0E1F2A3B4C5D

Ese es un servidor ficticio, pero el formato es exacto. La clave allí tiene 32 caracteres, lo cual es intencionalmente incorrecto para hacer el punto — cuenta la tuya. La clave real que recibas será exactamente 28.

Ubicación del archivo en firmwares comunes

Esto confunde a las personas más que el formato. Rutas comunes:

• /var/keys/newcamd.list — la mayoría de las imágenes Enigma2 (OpenATV, OpenPLi, DreamElite)
• /usr/keys/newcamd.list — algunas imágenes más antiguas y compilaciones no Enigma
• /etc/tuxbox/config/newcamd.list — hardware Enigma1 basado en Tuxbox
• /etc/mgcamd/newcamd.list — algunos paquetes MGCamd personalizados que agrupan su propio directorio de configuración

Si editas el archivo y los cambios nunca parecen aplicarse, estás editando la ruta incorrecta. Ejecutafind / -name "newcamd.list" 2>/dev/null a través de telnet para encontrar cada copia en el sistema de archivos. Luego verifica cuál está leyendo realmente MGCamd — generalmente visible en el registro de inicio o establecido en un script de inicio a través de un argumento de ruta.

Líneas adyacentes que podrías ver en el archivo:CWS_KEEPALIVE = 0 controla los pings de keep-alive, yCWS_INCOMING_IP bloquea al cliente a una interfaz local específica. Ninguno de estos contiene la clave DES y ninguno necesita ser editado para una conexión básica.

Configurando la clave DES en mg_cfg

Aquí es donde vive mucha confusión: las personas buscan enmg_cfg un lugar para pegar la clave DES. No está allí. La clave vive ennewcamd.list. Punto final.

mg_cfg controla el comportamiento en tiempo de ejecución de MGCamd — almacenamiento en caché, procesamiento de EMM, salida de depuración y similar. No contiene credenciales de conexión.

El bloque de configuración global C { }

El bloque de configuración principal enmg_cfg se ve así:

C { 3 0 1 0 { 0 } }

Esos números controlan el TTL de la caché, AU (actualización automática/EMM) y configuraciones de depuración. Ninguno de ellos es la clave DES. No pongas la clave aquí. Si has estado editando este archivo buscando un campo de clave, estabas en el archivo incorrecto por completo.

Relación entre mg_cfg y newcamd.list

Piénsalo de esta manera:newcamd.list es tu libreta de direcciones: a quién conectar y cómo autenticar.mg_cfg son las preferencias internas de MGCamd: cómo comportarse una vez conectado. Tienen propósitos completamente diferentes y se leen por separado al inicio.

Banderas comunes de mg_cfg que afectan el manejo de claves

La máscara de bits del nivel de depuración es la única configuración enmg_cfg que ayuda indirectamente con la solución de problemas de configuración de claves DES de mgcamd. Las líneas M: en el registro (conexión, autenticación, ECM) están controladas por el valor de depuración en el bloque C { }. Configurarlo a un valor como7 o255 te dará una salida detallada. Verás el intento de conexión CWS, el resultado de la autenticación y exactamente dónde falla. Sin eso, estás adivinando a ciegas.

Al algunas compilaciones incluyen un retroceso de clave predeterminado: si no se especifica ninguna clave, MGCamd intenta0102030405060708091011121314. No confíes en esto. La mayoría de los servidores reales utilizan una clave personalizada, y caer silenciosamente en la predeterminada significa una conexión fallida sin una explicación obvia. Siempre pon la clave real en el archivo de manera explícita.

Verificando la conexión y leyendo los registros

Una vez que hayas editadonewcamd.list, reinicia MGCamd y observa los registros. Si no puedes leer los registros, estás volando a ciegas y solucionar problemas de configuración se convierte en un juego de adivinanzas.

Habilitando el registro detallado de MGCamd

Enmg_cfg, establece tu nivel de depuración alto. Un valor de255 en la posición de depuración del bloque C da la máxima salida. Esto es ruidoso, pero para diagnosticar un problema de conexión es exactamente lo que quieres. Redúcelo una vez que la conexión sea estable.

La ubicación del archivo de registro varía según la configuración: las rutas comunes son/tmp/mgcamd.log,/var/log/mgcamd.log, o salida a stdout capturada por el sistema init. Revisa tu script de init para ver dónde se redirige la salida.

Cómo se ve un inicio de sesión CWS exitoso

Una conexión que funciona produce líneas de registro aproximadamente así:

CWS conectado a cardserver.example.net:15000

La redacción exacta varía entre las compilaciones de MGCamd, pero el patrón es el mismo: conectar → inicio de sesión OK → tarjeta detectada → ECM respondido con un tiempo de decodificación. Si ves las tres etapas, tu configuración de clave DES de mgcamd es correcta y la conexión está funcionando.

Inspección de registros al estilo de telnet y oscam

A través de telnet (generalmente puerto 23 en la caja), puedes seguir el registro en tiempo real:

tail -f /tmp/mgcamd.log

Si estás ejecutando OScam junto con MGCamd, el propio registro de OScam en/var/log/oscam/oscam.log mostrará la conexión entrante desde el lado del cliente. Una clave DES fallida aparece como un apretón de manos rechazado en el registro de OScam también, lo que te da un segundo punto de datos. La referencia cruzada de ambos registros elimina rápidamente la ambigüedad.

Confirmando respuestas ECM y tiempo de decodificación

Los tiempos de decodificación por debajo de 500 ms son generalmente aceptables para la mayoría de los receptores. Los tiempos superiores a 1000 ms causan tartamudeo en la imagen. Si las líneas ECM aparecen en el registro pero el tiempo de decodificación se indica como 0 o "sin CW", la tarjeta está conectada pero no responde para el CAID de ese canal — eso es un problema de derechos de la tarjeta, no un problema de clave. La distinción es importante para la solución de problemas.

Solucionando problemas de claves DES incorrectas o mal formadas

La configuración de la clave DES de mgcamd falla de unas pocas maneras predecibles. Cada síntoma apunta a una causa diferente, y leer el registro te dice con cuál estás lidiando.

Síntoma: se conecta y luego se desconecta instantáneamente

TCP se conecta, ves la línea CWS llegar al servidor, luego se cae en menos de un segundo y MGCamd comienza un bucle de reconexión. Esta es la firma de desajuste de clave DES. El servidor intentó descifrar la respuesta del cliente a su desafío, obtuvo basura y cerró la conexión. Verifica la clave carácter por carácter contra lo que espera el servidor. Luego verifica la contraseña — una contraseña incorrecta causa la misma desconexión pero un poco más tarde en la secuencia de apretón de manos.

Para distinguir un fallo de puerto/firewall de un fallo de autenticación: si TCP ni siquiera se completa, no verás una línea "CWS conectado" en absoluto — solo un tiempo de espera o "conexión rechazada". Si ves "conectado" seguido de un cierre inmediato, la red está bien y la autenticación está rota. Eso casi siempre es la clave DES o la contraseña.

Síntoma: la tarjeta se abre pero no hay imagen / está entrecortada

Si la conexión tiene éxito (inicio de sesión OK, tarjeta detectada) pero los canales están entrecortados, la clave está bien. Ahora estás mirando un problema diferente: la tarjeta no tiene derechos para ese paquete, el ECM no está siendo respondido, o el EMM no ha actualizado los derechos de la tarjeta. Verifica las líneas ECM en el registro para "sin CW" o tiempos de espera largos. Este no es un problema de clave DES.

Errores de espacio en blanco, longitud y caracteres ocultos

Este problema afecta a las personas constantemente. Cuando copias una clave de un panel web o correo electrónico, caracteres invisibles vienen junto con ella. Un salto de línea al final, un espacio no separable (0xA0), un retorno de carro — ninguno de estos es visible en la mayoría de los editores de texto, pero corrompen la clave.

La solución: usados2unix en el archivo después de editarlo en Windows, o edita directamente en la caja a través de telnet usandovi onano. Si copiar y pegar falla consistentemente, vuelve a escribir la clave manualmente. Son 28 caracteres — toma noventa segundos. También ejecuta:

cat -A /var/keys/newcamd.list

Cualquier línea que termine en^M$ en lugar de solo$ tiene un CR/LF estilo Windows. Ese^M se está añadiendo a tu clave DES y la está rompiendo. El comandodos2unix elimina esos.

Trampas de copiar y pegar de paneles web

Algunos paneles web muestran la clave DES en una fuente donde 0 y O se ven idénticos, o 1 y l son casi indistinguibles. He pasado más tiempo del que me gustaría admitir mirando una clave que parecía correcta pero tenía una O minúscula donde debería haber un cero. Si la clave provino de una interfaz web, visualiza el código fuente de la página para ver el valor en bruto. Copia desde allí, no desde la visualización renderizada.

También verifica: si tienes múltiples líneas CWS ennewcamd.list y editaste la incorrecta, la entrada activa sigue usando la clave antigua. MGCamd lee todas las líneas CWS y las prueba en orden. Podrías editar la línea 2 mientras la línea 1 es la que realmente se está conectando. Verifica qué IP y puerto del servidor aparecen en la línea de registro "CWS conectado" y asegúrate de que coincidan con la línea que editaste.

Un caso más extremo: algunas versiones son sensibles a mayúsculas y minúsculas en los caracteres hexadecimales. Si el servidor envía la clave en mayúsculas y tu archivo tiene minúsculas (o viceversa), la mayoría de las versiones modernas lo manejan — pero si estás en un binario de MGCamd más antiguo, intenta hacer coincidir la capitalización exactamente con lo que proporcionó el servidor. Las mayúsculas son más seguras.

Los problemas de reloj son raros pero reales. En algunas configuraciones, un reloj del sistema incorrecto en el STB causa fallos de apretón de manos TLS o sensibles al tiempo. Si has verificado que la clave es correcta y aún así obtienes fallos intermitentes, verificadate en la caja y sincroniza con NTP si la hora está muy desfasada.

Elegir una fuente de servidor newcamd confiable (genéricamente)

El lado técnico de la configuración de la clave DES de mgcamd solo funciona si el servidor en el otro extremo es realmente confiable. Una configuración perfecta conectándose a un servidor roto aún te da una experiencia rota.

Criterios que importan: tiempo de actividad, tiempo de ECM, soporte

El tiempo de respuesta de ECM es el número que más importa día a día. Menos de 300 ms es bueno. Menos de 100 ms es excelente. Cualquier cosa por encima de 800 ms hará que los cambios de canal se detengan. Pide un período de prueba y mide los tiempos de ECM reales en tus registros antes de comprometerte.

La consistencia del tiempo de actividad importa más que el tiempo de actividad máximo. Un servidor que está activo el 99% del tiempo pero se cae de manera impredecible durante eventos deportivos en vivo es peor que uno con ventanas de mantenimiento programadas. Averigua cómo manejan el tiempo de inactividad y si hay redundancia.

La capacidad de respuesta del soporte es difícil de evaluar antes de necesitarla. Observa qué tan rápido responden a las preguntas previas a la venta. Si tardan tres días en responder una consulta simple, asume que así de rápido arreglarán una conexión rota a las 9 p.m. un sábado.

Banderas rojas a evitar

Evita cualquier servicio que no pueda decirte la ubicación física de su servidor o centro de datos. Evita proveedores que no te den ni siquiera un breve período de prueba antes del pago. Ten cuidado con cualquiera que anuncie tiempos de ECM poco realistas que no se sostienen bajo pruebas reales. Y si un servidor está caído cuando intentas probarlo por primera vez, eso es un adelanto de lo que estás comprando.

Por qué nunca debes compartir tu clave DES públicamente

Tu línea CWS — la línea completa que incluye la clave DES — es una credencial de autenticación completa. Cualquiera con esa línea puede conectarse a tu asignación de servidor como tú. Publicarla en un foro para pedir ayuda es equivalente a publicar tu contraseña en texto plano. Si necesitas compartir credenciales para depuración, genera una cuenta de prueba o enmascara la clave. Y si ya la has publicado públicamente, asume que está comprometida y solicita una nueva clave al operador del servidor de inmediato.

Lo mismo se aplica a pegar tu configuración en cualquier herramienta en línea o sitio de diagnóstico. La clave no necesita estar allí para que alguien te ayude a depurar problemas de formato: reemplázala con un marcador antes de compartir.