Tutorial sulla configurazione del server CCcam: guida passo passo

Configurare correttamente CCcam è più difficile di quanto sembri. Il software si avvia senza errori, i file di registro sembrano silenziosi e poi... niente funziona. I canali non si decriptano, i client non riescono a connettersi o tutto funziona per 20 minuti prima di bloccarsi. Questa guida illustra la configurazione completa, dalla struttura del file ccccam.cfg alla verifica lato client, incluse le modalità di errore che la maggior parte dei tutorial non menziona mai.

Che cos'è CCcam e come funziona il modello server-client

Panoramica del protocollo CCcam

CCcam è un protocollo di condivisione di schede e un'applicazione softcam. Comunica con un lettore di smart card fisico per ottenere le parole di controllo (CW), ovvero le chiavi di decrittazione di cui i ricevitori satellitari hanno bisogno per decodificare i canali TV criptati. Il protocollo gestisce le richieste ECM (Entitlement Control Message) tra il ricevitore e la scheda, restituendo le risposte decriptate quasi in tempo reale.

Il protocollo è stato ampiamente adottato perché si integrava perfettamente con i ricevitori satellitari basati su Enigma2 e poteva essere eseguito come servizio in background su Linux. Un'istanza CCcam funzionante necessita di due elementi: una smart card valida con un abbonamento attivo e un lettore di schede con cui il software possa comunicare.

Spiegazione dei ruoli server vs. client

La comprensione del ruolo che ricopri determina l'intero approccio alla configurazione.

Modalità server: hai una smart card fisica e un lettore di card. CCcam legge la card direttamente, gestisce le richieste ECM localmente e può condividere le risposte con gli account client autorizzati da te definiti. Il tuo ccccam.cfg avrà delle linee B o R che puntano all'hardware del tuo lettore di card e delle linee F che definiscono chi può connettersi a te.

Modalità client: non hai una scheda locale. Ti connetti al server CCcam di qualcun altro utilizzando una linea C fornita da loro. Il tuo ricevitore invia richieste ECM al suo server e la sua scheda le elabora. Ti autentichi con nome utente e password. In questa modalità, la tua configurazione ha linee C ma nessuna linea B o configurazione della scheda locale.

Molte configurazioni combinano entrambe le cose, fungendo da client per un server upstream e servendo contemporaneamente i client locali. Questo processo è chiamato cascading, e il conteggio degli hop controlla la distanza che può percorrere la condivisione di una scheda.

Piattaforme hardware e sistemi operativi supportati

CCcam funziona su diverse piattaforme, ciascuna con requisiti di configurazione leggermente diversi:

• Ricevitori satellitari Enigma2 (DreamBox, Vu+, Zgemma, Gigablue): l'implementazione più comune. CCcam si installa come pacchetto ipk o deb.
• VPS Linux o server dedicato , in genere Ubuntu o Debian x86/x64. Richiede un lettore di smart card USB se utilizzato in modalità server. Ideale per distribuzioni di server centralizzati.
• Raspberry Pi : funziona bene con un lettore USB. Richiede l'impostazione di regole udev per consentire a CCcam di accedere /dev/ttyUSB0 o percorsi di dispositivo simili. Senza la regola udev corretta, il servizio si avvia ma non riesce ad aprire il lettore.
• Windows : non supportato nativamente. Richiede una macchina virtuale Linux o WSL. Non consigliato per la produzione.

Considerazioni legali per l'uso personale

Il software CCcam è di per sé uno strumento. Utilizzarlo per consentire al proprio ricevitore di accedere a una smart card di cui si è proprietari e per la quale si dispone di un abbonamento valido è un esercizio di configurazione tecnica. Ciò che crea problemi legali e di termini di servizio è la condivisione dell'accesso a una singola scheda di abbonamento tra più utenti non correlati o la ricezione di un accesso condiviso per un abbonamento non pagato.

Questa guida illustra i meccanismi di configurazione. Nulla di quanto contenuto in questa guida intende facilitare la distribuzione non autorizzata dell'accesso all'abbonamento. Verificate i termini e le condizioni del vostro fornitore di abbonamento prima di condividere l'accesso alla carta in qualsiasi forma, anche all'interno di un nucleo familiare.

Configurazione del server CCcam: spiegazione del file ccccam.cfg

Individuazione del percorso del file di configurazione

Sui ricevitori Enigma2, il file si trova in /etc/CCcam.cfg . Su un VPS Linux che esegue CCcam come servizio, in genere si trova /usr/local/etc/CCcam.cfg o in qualsiasi posizione indicata dallo script di avvio con il flag -c . In caso di dubbi, controlla lo script di init o il file di unità systemd.

Un caso limite critico: se hai modificato il file di configurazione su una macchina Windows e lo hai trasferito via FTP, quasi certamente presenta terminazioni di riga CRLF in stile Windows. Il parser Linux di CCcam si blocca silenziosamente su queste terminazioni: le righe vengono lette in modo errato e le direttive vengono ignorate. Esegui sempre dos2unix /etc/CCcam.cfg dopo qualsiasi modifica lato Windows prima di riavviare CCcam.

Direttive essenziali: C-Line, F-Line, N-Line, R-Line

Ecco un esempio annotato che mostra i tipi di direttiva principali:

# Connettiti al server upstream (linea C)
# Formato: C: nome host porta nome utente password
C: upstream.example.com 12000 myclientuser mypassword
# Definisci un utente locale che può connettersi a QUESTO server (linea F)
# Formato: F: nome utente password ricondivisione maxhops [IDENT:SID ...]
F: localclient1 password segreta 1 1
# Connessione client Newcamd (linea N)
# Formato: N: nome host porta nome utente password chiave DES
N: newcamd.example.com 15050 nuser npassword 0102030405060708091011121314
# Lettore di schede locale (linea B per integrato, linea R per phoenix/smartreader)
B: /dev/sci0
# Lettore USB Phoenix/seriale
R: /dev/ttyUSB0 lettore intelligente

Una riga F malformata è uno dei casi di errore silenzioso più comuni. Se il formato è errato (spazio in eccesso, campo mancante, tabulazione al posto dello spazio), CCcam lo legge senza errori, ma l'account utente semplicemente non esiste. I client ricevono errori di autenticazione e non c'è nulla nel log che ne spieghi il motivo. Controlla sempre attentamente la formattazione della riga F, carattere per carattere.

Impostazione della porta di ascolto e del nome host

Imposta la porta su cui CCcam ascolta con:

SERVERPORT 12000

L'impostazione predefinita è 12000. Se il tuo ISP blocca questa porta (alcuni lo fanno, in particolare sulle connessioni residenziali), passa a una porta come 8080 o addirittura 443. Qualsiasi modifica richiede l'aggiornamento della linea C di ogni client che punta a questo server e l'apertura della nuova porta nel firewall. Non lasciare questa impostazione predefinita su un VPS pubblico senza controllo degli accessi basato su IP: la porta 12000 viene scansionata costantemente.

Definizione degli account utente (linee F) con hop e ricondivisione

Il valore di ricondivisione F-line controlla cosa può fare un cliente connesso con le carte che riceve:

• Ricondivisione 0 : il client non può ricondividere i canali. Può decriptare i canali solo per sé. Utilizzare questa opzione per i client utenti finali.
• Ricondivisione 1 : il client può ricondividere a un livello aggiuntivo. Da utilizzare per operatori di sottoserver affidabili.
• Reshare 2+ : il client ricondivide i dati più in basso nella catena. Aumenta la latenza. Da evitare a meno che non si abbia specificatamente bisogno di una cascata multilivello.

# Utente finale: nessuna ricondivisione, massimo 1 salto
F: spettatore1 pass123 0 1
# Operatore del sottoserver: può ricondividere un livello
F: subserver1 pass456 1 2

Aggiunta di smart card locali (linee B e linee R)

Le linee B fanno riferimento ai lettori di schede integrati nell'hardware Enigma2. Le linee R gestiscono i lettori esterni. Per un Raspberry Pi con lettore di smart card USB:

R: /dev/ttyUSB0 lettore intelligente

Il percorso del dispositivo deve essere leggibile dall'utente che esegue CCcam. Su un Pi, aggiungi una regola udev per concedere l'accesso:

# /etc/udev/rules.d/99-smartcard.rules
SOTTOSISTEMA=="tty", ATTRS{idVendor}=="0403", MODALITÀ="0666", GRUPPO="utenti"

Sostituisci il valore idVendor con l'ID fornitore effettivo da lsusb . Ricarica con udevadm control --reload-rules . Senza questo passaggio, CCcam si avvia correttamente, ma il lettore di schede non viene mai aperto: non vedrai alcuna scheda nel pannello Informazioni di CCcam.

Importante: CCcam non può interfacciarsi con un modulo di accesso condizionale (CAM) inserito nello slot CI del ricevitore. Richiede una connessione diretta al lettore di smart card. Se si utilizza un modulo CAM, CCcam non è lo strumento giusto per l'accesso locale tramite smart card.

Cascata e conteggio dei salti: quali valori utilizzare

MAXHOPS limita il numero di hop di rete che una richiesta ECM può percorrere. Per una semplice configurazione domestica (un server, due o tre ricevitori locali), impostare:

MAXHOPS 1

Ogni salto aggiuntivo aumenta la latenza. Con più di 3 salti, si noterà un cambio di canale lento: a volte 3-5 secondi per cambio di canale invece di meno di 1 secondo. Aumentare il valore MAXHOPS solo quando si gestisce deliberatamente una rete multilivello in cui i sottoserver devono essere ulteriormente collegati in cascata.

Salvataggio e applicazione delle modifiche alla configurazione

CCcam non ricarica la sua configurazione a caldo. Dopo aver modificato ccccam.cfg , è necessario riavviare completamente il servizio:

systemctl riavvia cccam
# o su Enigma2:
/etc/init.d/softcam restart

Eseguire sempre il backup della configurazione funzionante prima di apportare modifiche. Un singolo errore di sintassi può causare l'interruzione dell'intero servizio.

Configurazione lato client: connessione al server CCcam

Configurazione della linea C su un ricevitore Enigma2

Su un ricevitore Enigma2 che funge esclusivamente da client, il tuo CCcam.cfg necessita solo della riga C che punta al tuo server:

C: 192.168.1.100 12000 spettatore1 pass123

Utilizzare l'indirizzo IP LAN del server, ove possibile, anziché un nome host. La risoluzione DNS aggiunge un punto di errore: se il DNS è lento o temporaneamente non disponibile, la linea C si interrompe e i canali smettono di decifrare a intermittenza. Questa è una causa comune di reclami del tipo "funziona bene, poi si interrompe per 30 secondi". È preferibile un IP statico o una voce DNS locale affidabile.

Configurazione di CCcam su immagini OpenPLi, OpenATV e DreamOS

Il processo è coerente tra le immagini Enigma2 più diffuse, ma il gestore dei pacchetti differisce leggermente:

• OpenPLi / OpenATV: installa CCcam tramite il Software Manager o copiando l'ipk sul ricevitore ed eseguendo opkg install CCcam*.ipk . Il file di configurazione va in /etc/CCcam.cfg .
• DreamOS (nativo di DreamBox): utilizzare DreamBox App Market o caricare lateralmente il pacchetto deb con apt install .

Dopo l'installazione, il file di configurazione è solitamente vuoto o contiene solo commenti. Aggiungi la tua linea C e riavvia la softcam.

Utilizzo di CCcam con un plugin Softcam Manager

La maggior parte delle immagini Enigma2 include un Softcam Manager accessibile dal menu principale. Questo consente di avviare/arrestare/cambiare softcam senza accesso SSH. CCcam dovrebbe apparire nell'elenco dopo l'installazione. Selezionatelo e avviatelo: il gestore gestisce lo script di inizializzazione. Se CCcam non appare, il pacchetto non è stato installato correttamente o il binario non è eseguibile.

Test della connessione con il pannello informativo di CCcam

Il plugin CCcam Info (disponibile come pacchetto separato chiamato enigma2-plugin-extensions-cccaminfo ) mostra lo stato del server in tempo reale. Dopo averlo installato e aperto:

• Le schede connesse dalla tua linea C dovrebbero apparire in "Server connessi"
• Le richieste ECM attive mostrano che la decrittazione del canale funziona
• La sezione "Condivisioni" mostra quali carte il tuo server può vedere

Nessun server connesso elencato significa che la linea C è errata o che il server non è raggiungibile. Se le schede sono elencate ma non c'è attività ECM, significa che la scheda non copre i canali che stai guardando. Questa distinzione è importante per la risoluzione dei problemi.

Interpretazione dei colori e dei codici di stato della connessione

Nel pannello Info di CCcam, gli indicatori di stato significano:

• Verde: Connesso e in condivisione attiva: le risposte ECM funzionano
• Giallo: Connesso ma inattivo: il server è raggiungibile ma non ci sono richieste di decrittazione attive
• Rosso: connessione non riuscita o persa: controllare le credenziali della linea C, la raggiungibilità del server e il firewall

Il giallo è normale quando non si guarda un canale criptato. Il rosso che non si ripristina dopo il riavvio del servizio indica un problema di rete o di autenticazione, non un problema del file di configurazione del client.

Risoluzione dei problemi comuni degli errori del server CCcam

Il server non si avvia: errori di autorizzazione e percorso

Se CCcam si chiude subito dopo l'avvio, verifica prima due cose. Primo: il binario deve essere eseguibile — chmod +x /usr/local/bin/CCcam . Secondo: il percorso del file di configurazione nel comando di avvio deve corrispondere a quello in cui si trova effettivamente il file. CCcam con una configurazione mancante non ti avvisa chiaramente; si chiude e basta.

Esegui CCcam manualmente in primo piano per visualizzare l'output grezzo: /usr/local/bin/CCcam -c /etc/CCcam.cfg . Eventuali errori di avvio vengono visualizzati direttamente sul terminale.

I client possono connettersi ma i canali non vengono decifrati

Questa è la modalità di errore che la maggior parte dei tutorial ignora completamente. Il client si autentica, le informazioni di CCcam sono visualizzate in verde, ma i canali rimangono neri o mostrano un errore di decrittazione. Possibili cause:

• La scheda sul server non ha il pacchetto di abbonamento per il canale richiesto
• Il conteggio dei salti sulla linea F è impostato su 0, il che significa che la scheda non è affatto condivisa
• La connessione del lettore di schede è interrotta: CCcam mostra che la scheda era presente all'avvio ma da allora è stata disconnessa
• Il LIMITE DI CONDIVISIONE è impostato su un valore troppo basso nella configurazione, limitando le risposte ECM

Controllare /tmp/cccam.log per verificare la presenza di righe contenenti "can't decode" o "no provider" rispetto al CAID/ID provider del canale. Una decodifica funzionante mostra un tempo di risposta ECM in millisecondi. Nessuna risposta ECM significa che la scheda non ha mai elaborato la richiesta.

Correzioni per timeout ECM e tempi di zapping elevati

Un cambio di canale che richiede più di 3 secondi solitamente indica una delle seguenti cause: troppi hop che aumentano il tempo di andata e ritorno, congestione di rete tra client e server, oppure la scheda è lenta a rispondere (comune con alcuni sistemi di accesso condizionato). Inizia riducendo MAXHOPS a 1 e testando localmente prima di dare la colpa alla scheda.

Troppe connessioni / Numero massimo di utenti raggiunto

Se i client vengono rifiutati con un errore di limite di connessione, controlla la riga F: puoi specificare il numero massimo di connessioni per utente:

# Formato: F: hop di ricondivisione pass utente maxcon
F: spettatore1 pass123 0 1 1

L'ultimo parametro limita l'utente a una sola connessione simultanea. Rimuoverlo o aumentarlo se vengono bloccate connessioni legittime.

CCcam si blocca dopo poche ore

Le versioni precedenti di CCcam (2.1.x e precedenti) presentano una perdita di memoria ben documentata. Il processo si intensifica nel corso delle ore, finché l'OOM-killer del sistema non lo interrompe. Due soluzioni: aggiornare a CCcam 2.3.x, che offre una migliore gestione della memoria, e configurare un servizio systemd con Restart=always in modo che si riprenda automaticamente. Il crash potrebbe essere inevitabile su versioni molto vecchie, ma il servizio dovrebbe ripristinarsi in pochi secondi.

Porta bloccata dal firewall: regole UFW e iptables

Su un VPS che esegue UFW:

ufw consente 12000/tcp
ricarica ufw

Con iptables direttamente:

iptables -A INPUT -p tcp --dport 12000 -j ACCETTA
# Salva le regole:
iptables-save > /etc/iptables/rules.v4

Se utilizzi un hosting condiviso in cui il provider gestisce il firewall, non puoi aprire le porte autonomamente: contatta il supporto. Se il tuo ISP blocca la porta 12000 sulle connessioni residenziali, modifica SERVERPORT in 8080 o 443 e aggiorna di conseguenza tutte le linee C dei client. Gli utenti che utilizzano CGNAT (carrier-grade NAT) si trovano ad affrontare un problema più complesso: il port forwarding standard verso il router non funziona perché non dispongono di un IP pubblico dedicato. La soluzione è un tunnel VPN o un reverse proxy su un VPS: il VPS ha la porta pubblica e incanala il traffico verso il server CCcam domestico.

Errori di sintassi del file di configurazione: come convalidarli

CCcam non ha un validatore di configurazione integrato, ma un rapido grep rileva i problemi di formattazione più comuni:

# Controlla le terminazioni di riga di Windows
cat -A /etc/CCcam.cfg | grep '\^M'
# Elenca tutte le linee F per verificare il formato
grep '^F:' /etc/CCcam.cfg
# Controlla la presenza di righe vuote a metà configurazione che potrebbero interrompere l'analisi
grep -n '^$' /etc/CCcam.cfg

Se cat -A mostra ^M alla fine delle righe, eseguire immediatamente dos2unix /etc/CCcam.cfg .

Ottimizzazione delle prestazioni e della sicurezza del server CCcam

Scegliere la versione giusta di CCcam (2.3.x vs 2.1.x)

CCcam 2.3.x è l'ultima versione stabile e presenta miglioramenti significativi rispetto alla 2.1.x: migliore gestione della memoria, gestione multi-scheda migliorata e ripristino della connessione upstream più affidabile. Non ci sono sviluppi attivi oltre la 2.3.x. Se stai configurando da zero, usa la 2.3.x. Se stai utilizzando la 2.1.x e riscontri crash, il primo passo è l'aggiornamento, non la riconfigurazione.

Dopo l'aggiornamento, rimuovi completamente il vecchio binario prima di installare quello nuovo. L'esecuzione simultanea di due binari CCcam causa un conflitto di porte: la seconda istanza non riesce a collegarsi alla porta 12000 e si chiude silenziosamente, lasciandoti a eseguire il debug di una nuova versione "rotta" che in realtà funzionava correttamente.

Esecuzione di CCcam come servizio Systemd per il riavvio automatico

Crea /etc/systemd/system/cccam.service :

[Unità]
Descrizione=Server di condivisione schede CCcam
Dopo=rete.target
[Servizio]
Tipo=semplice
ExecStart=/usr/local/bin/CCcam -c /etc/CCcam.cfg
Riavvia=sempre
RiavviaSec=5
Utente=cccam
StandardOutput=giornale
StandardError=giornale
[Installare]
WantedBy=multi-user.target

Abilita e avvia:

systemctl daemon-reload
systemctl abilita cccam
systemctl avvia cccam

La direttiva Restart=always fa sì che CCcam si riprenda automaticamente dai crash entro 5 secondi. Questo è il più grande miglioramento dell'affidabilità che si possa apportare a un server di produzione: i tutorial dei concorrenti raramente lo menzionano.

Limitazione della larghezza di banda dell'utente e delle connessioni simultanee

In ccccam.cfg , imposta i limiti di connessione per utente nella riga F (come mostrato nella sezione relativa alla risoluzione dei problemi) e utilizza SHARE LIMIT per controllare la velocità effettiva complessiva. Non impostare SHARE LIMIT al di sotto del numero di canali simultanei di cui i tuoi client hanno effettivamente bisogno: ciò causerà cali di ECM che sembrano identici ai problemi della scheda.

Blocco degli intervalli IP non autorizzati

CCcam supporta le direttive ALLOW e DENY per il controllo degli accessi basato su IP:

# Consenti solo le connessioni dalla tua rete locale e da un IP attendibile
CONSENTI 192.168.1.0/24
CONSENTI 203.0.113.45
NEGA 0.0.0.0/0

Negare dopo le regole ALLOW crea una lista consentita. Senza questa, chiunque ottenga credenziali valide può connettersi da qualsiasi luogo. Su un VPS pubblico, la restrizione basata sull'IP è essenziale: la porta 12000 viene scansionata attivamente.

Monitoraggio del carico del server con i file di registro CCcam

CCcam scrive su /tmp/cccam.log per impostazione predefinita. Su un server molto trafficato, questo file cresce rapidamente. Aggiungere la rotazione dei log:

# /etc/logrotate.d/cccam
/tmp/cccam.log { quotidiano ruota 7 comprimere missingok notifica vuota post-rotazione systemctl riavvia cccam fine del copione
}

Senza rotazione, un server in funzione per settimane riempirà /tmp e causerà il fallimento di CCcam quando non riuscirà a scrivere voci di registro.

Procedure consigliate per la configurazione di backup e ripristino

Prima di qualsiasi modifica, copia la configurazione funzionante: cp /etc/CCcam.cfg /etc/CCcam.cfg.backup.$(date +%Y%m%d) . Conserva i backup delle versioni per almeno 7 giorni. Se gestisci più ricevitori, salva le configurazioni in un repository git: sarai in grado di confrontare le modifiche e identificare esattamente cosa ha causato problemi.

Cosa non funziona: errori da evitare nella configurazione di CCcam

Formato di riga errato che causa errori silenziosi

Una riga F non valida non genera alcun errore. L'utente semplicemente non esiste. I client che si connettono con quelle credenziali vengono rifiutati e il log mostra un errore di autenticazione senza alcun accenno al fatto che l'account non sia mai stato creato. Ogni riga F necessita esattamente di questi elementi nell'ordine seguente: F: prefisso, spazio, nome utente, spazio, password, spazio, valore di ricondivisione, spazio, valore maxhops. Spazi extra, tabulazioni o valori mancanti causano tutti un rifiuto silenzioso.

Utilizzo di CCcam su NAT senza inoltro delle porte

Se il server CCcam si trova dietro un router domestico, i client esterni alla rete non possono raggiungerlo a meno che non si inoltri la porta del server dal router al computer che esegue CCcam. Accedi al pannello di amministrazione del router e crea una regola di inoltro delle porte: porta esterna 12000, IP interno del computer CCcam, porta interna 12000. I client si connetteranno quindi utilizzando l'IP WAN pubblico del router, non l'IP LAN.

Gli utenti dietro CGNAT non ottengono alcun IP pubblico: il port forwarding non ha alcun punto di riferimento. La soluzione alternativa è utilizzare un VPS economico come relay. È necessario attivare WireGuard tra il VPS e il server di casa, quindi far connettere i client al VPS. Questo aggiunge una latenza di 20-40 ms, ma risolve completamente il problema del CGNAT.

Combinazione di file di configurazione CCcam e OSCam

OSCam utilizza file di configurazione e sintassi delle direttive completamente diversi. CCcam utilizza CCcam.cfg con prefissi di riga C:/F:/B:. OSCam utilizza oscam.conf , oscam.server , oscam.user , ciascuno con intestazioni di sezione in stile INI. Incollare blocchi di configurazione di OSCam in un file di configurazione di CCcam, o viceversa, interrompe silenziosamente entrambi. Se si sta migrando da OSCam a CCcam, iniziare con un file di configurazione pulito: non provare ad adattare quello esistente.

Valori di salto errati che interrompono la catena di condivisione

Impostando MAXHOPS su 0, la condivisione è nulla: solo decifratura locale. Un server con MAXHOPS 0 accetta connessioni client ma non invia nulla. Impostandolo su 1, le schede vengono condivise a un livello di profondità. Se si dispone di una configurazione a tre livelli (upstream → il proprio server → i propri client → i loro client) e si desidera che l'intera catena funzioni, è necessario impostare MAXHOPS 3. Ogni livello in cui il numero di hop è troppo basso tronca silenziosamente la catena di condivisione sottostante.

Esecuzione simultanea di CCcam e OSCam sulla stessa porta

Alcuni utenti cercano di utilizzare entrambe le softcam per una maggiore flessibilità del protocollo. Sullo stesso ricevitore Enigma2 con un solo lettore di schede, entrambe le softcam competono per la scheda fisica. Chi cattura per primo il lettore vince; l'altro fallisce silenziosamente o produce errori sporadici. Su un dispositivo con un solo lettore di schede, utilizzare una softcam alla volta. Se sono necessari entrambi i protocolli, utilizzare CCcam su una porta e OSCam su un'altra, ma assicurarsi che solo una delle due acceda direttamente al lettore di schede fisico. L'altra deve funzionare solo come client.