Wyjaśnienie udostępniania kart: CCcam& Przewodnik po konfiguracji OScam

Udostępnianie kart to dystrybucja odszyfrowanych słów kontrolnych z karty inteligentnej do jednego lub więcej odbiorników satelitarnych na poziomie sieci. Jeśli napotkałeś przeszkodę próbując połączyć swoje linie CCcam lub twój serwer OScam nie autoryzuje klientów, problem prawie zawsze tkwi w szczegółach — błędny CAID, źle skonfigurowany blok czytnika lub port, który nigdy nie został przekierowany. Ten przewodnik przeprowadza przez rzeczywiste mechanizmy i prawidłową składnię konfiguracji, abyś mógł diagnozować i naprawiać problemy bez zwykłego prób i błędów.

Spędziłem dużo czasu, wpatrując się w logi OScam i przeszukując/etc/tuxbox/config/ w różnych wersjach Enigma2. To, co następuje, to techniczne podstawy, które większość przewodników konfiguracyjnych pomija całkowicie.

Czym tak naprawdę jest udostępnianie kart (na poziomie protokołu)

Na poziomie sieci udostępnianie kart działa poprzez proxy procesu odszyfrowania karty inteligentnej przez TCP. Twój odbiornik zazwyczaj komunikuje się bezpośrednio z lokalną kartą; udostępnianie kart zastępuje tę lokalną ścieżkę skokiem sieciowym do maszyny, w której znajduje się fizyczna karta. Wynik odszyfrowania — słowo kontrolne — wraca, a twój odbiornik używa go tak, jakby nic się nie stało.

Słowo kontrolne (CW) i dlaczego musi być udostępniane co kilka sekund

Każdy zaszyfrowany strumień transmisyjny jest zaszyfrowany za pomocą słowa kontrolnego — dwóch 8-bajtowych połówek, które razem tworzą 16-bajtowy klucz. Nadawca zmienia to CW mniej więcej co 7–10 sekund, aby ograniczyć ekspozycję. Nadchodzące CW jest faktycznie osadzone w strumieniu nieco przed tym, kiedy jest potrzebne, w wiadomości kontrolnej uprawnień (ECM).

Twój odbiornik wyodrębnia ECM, wysyła go do karty inteligentnej (lub, w przypadku konfiguracji udostępniania kart, przez sieć do serwera kart), a karta odszyfrowuje go i zwraca CW. Jeśli ta podróż tam i z powrotem trwa dłużej niż okno rotacji, otrzymujesz zacięcie. To cały powód, dla którego czas ECM ma znaczenie — ścigasz się z zegarem 7-sekundowym.

Role klienta/serwera i przepływ żądań ECM/EMM

W konfiguracji udostępniania kart serwer posiada fizyczną kartę inteligentną. Gdy odbiornik klienta dostraja się do kanału, przechwytuje ECM z strumienia transmisyjnego i wysyła go w górę do serwera kart przez protokół udostępniania. Serwer przekazuje go do karty, otrzymuje z powrotem CW i przekazuje go do klienta, który używa go do odszyfrowania wideo.

EMM — wiadomość zarządzania uprawnieniami — to oddzielna warstwa. EMM przenoszą aktualizacje subskrypcji od nadawcy, utrzymując aktualne uprawnienia karty (wydarzenia pay-per-view, sygnały odnawiania, aktualizacje poziomów). Jeśli twoja konfiguracja nie przekazuje EMM z powrotem do karty, w końcu odkryjesz, że karta traci kanały po cyklu odnawiania. W OScam jest to kontrolowane przezau flaga w oscam.user.

CCcam vs OScam vs MGCamd vs Newcamd w skrócie

OScam jest prawie zawsze właściwym wyborem do uruchomienia serwera. Jest aktywnie rozwijany, ma interfejs monitorowania w sieci, zapisuje szczegółowe logi i obsługuje każdy protokół, którego mogą chcieć klienci. C-linie protokołu CCcam dla konfiguracji po stronie klienta pozostają najbardziej uniwersalnie wspieranym formatem do łączenia się z serwerem.

Gdzie pasuje fizyczna karta inteligentna

Karta inteligentna jest rzeczywistym źródłem autoryzacji. Wszystko inne to tylko proxy. Karta przechowuje klucze przyznane przez nadawcę i wykonuje lokalnie deszyfrację ECM — brak karty, brak CW. Po stronie serwera karta znajduje się w czytniku kart inteligentnych: wbudowanym gnieździe odbiornika (protokół wewnętrzny w OScam), czytniku USB PCSC, takim jak SCR3310, lub czytniku szeregowym. Typ czytnika kart określa twójprotokół linia w oscam.server.

Konfiguracja serwera OScam od podstaw

Konfiguracja OScam jest podzielona na kilka plików, co sprawia trudności większości osób konfigurujących to po raz pierwszy. Kluczowym spostrzeżeniem jest to, że każda główna funkcja — czytnik, użytkownicy, protokoły, ustawienia globalne — znajduje się w swoim własnym pliku. Najpierw poprawnie ustaw ścieżki do plików, a wszystko inne pójdzie za tym.

Kompilacja lub instalacja OScam i układ katalogu konfiguracyjnego

Na Debianie/Ubuntu możesz pobrać skompilowany binarny plik lub zbudować go z repozytorium OScam SVN. Cel budowy, którego chcesz dla większości konfiguracji serwera, obejmujeWITH_LIBUSB dla wsparcia PCSC iWITH_SSL jeśli planujesz używać szyfrowanych połączeń klienckich.

Lokalizacja katalogu konfiguracyjnego różni się w zależności od obrazu. Typowe ścieżki:

• /etc/tuxbox/config/ — obrazy Enigma2 (OpenATV, OpenPLi)
• /usr/local/etc/ — ogólne instalacje Linuxa
• /var/keys/ — niektóre starsze obrazy DM

Zawsze możesz wyraźnie powiedzieć OScam, gdzie ma szukać:oscam -c /twoja/ścieżka/konfiguracyjna. Zrób to w swoim skrypcie inicjalizacyjnym, aby nigdy nie zgadywać, który katalog jest rzeczywiście odczytywany.

oscam.conf: Bloki Webif, Global i Logowania

Minimalnyoscam.conf dla serwera z włączonym interfejsem webowym:

[global]

Ustawhttpallowed na zakres swojej sieci LAN. Nie zostawiaj interfejsu webowego otwartego na publicznym IP bez autoryzacji.nice = -1 linia nieco zwiększa priorytet harmonogramu OScam, co może pomóc na obciążonych urządzeniach.

Gdy OScam działa, wpiszhttp://serverip:8888 w przeglądarkę. Interfejs webowy pokazuje status czytnika, aktywnych użytkowników, czasy odpowiedzi ECM na żądanie oraz na żywo log — to jest twoje główne narzędzie do debugowania, a większość przewodników całkowicie je ignoruje.

oscam.server: Definiowanie lokalnego czytnika (PCSC, wewnętrzny, szeregowy)

Ten plik definiuje fizyczną kartę. Dla wbudowanego czytnika w urządzeniu Enigma2:

[reader]

Dla czytnika USB PCSC (SCR3310 lub podobny):

[czytnik]

Wartośćcaid to identyfikator dostępu warunkowego w formacie hex. Jeśli to będzie błędne, OScam zobaczy kartę, ale niepoprawnie skieruje ECM-y do niej, co spowoduje ciche błędy dekodowania. Sprawdź rzeczywisty CAID karty, łącząc się z interfejsem webowym — w sekcji Czytniki, wykryta karta pokazuje swój zgłoszony CAID. Porównaj to z tym, co wpisałeś w konfiguracji.

Jednym z przypadków, które warto znać: jeśli masz zdefiniowane wiele czytników z nakładającymi się CAID-ami, OScam spróbuje skierować ECM-y na podstawie swoich zasad równoważenia obciążenia. Może to oznaczać, że ECM-y trafiają do drugorzędnej karty, która nie posiada rzeczywistych uprawnień. Przypisz różnegrupy wartości i użyj przypisań grup w oscam.user, aby przypisać użytkowników do konkretnych czytników.

oscam.user: Tworzenie kont i przypisanie CAID/Ident

[konto]

Poleau to miejsce, w którym wiele konfiguracji cicho zawodzi. Musi wskazywać na etykietę czytnika z oscam.server. Bez tego EMM-y od nadawcy nie docierają do karty, a po następnym cyklu odnowienia subskrypcji karta przestaje dekodować. Uprawnienia karty po prostu cicho wygasają.

Poleident akceptuje identyfikatory dostawcy w formacieCAID:ident1,ident2. Jeśli nadawca zaktualizuje CAID lub ident po aktualizacji oprogramowania karty — co się zdarza — twoja wcześniej działająca konfiguracja przestaje działać bez żadnego oczywistego błędu w logach poza "brak pasującego czytnika".

Włączanie protokołu CCcam z [cccam] i powiązaniem portów

Dodaj to dooscam.conf aby OScam akceptował połączenia klientów protokołu CCcam:

[cccam]

Wartośćreshare kontroluje, ile skoków CW może przebyć z tego serwera. Ustawienie na 1 oznacza, że klienci mogą korzystać z karty, ale nie mogą jej dalej udostępniać.Wartościversion ibuild

Łączenie klienta CCcam (składnia linii& Porty)

Linia C to punkt wejścia dla każdego klienta udostępniania kart. Upewnij się, że format jest dokładnie poprawny — CCcam nie wybacza błędów w białych znakach ani kolejności pól.

Anatomia linii C: C: host port nazwa_użytkownika hasło

C: server.example.com 12000 myuser mypassword

Rozkład każdego tokena:C: deklaruje to jako linię serwera CCcam. Następnie podawana jest nazwa hosta (lub IP), potem port, na którym nasłuchuje serwer, a następnie nazwa użytkownika i hasło odpowiadające kontu w oscam.user (lub CCcam.cfg po stronie serwera). To wszystko, jeśli chodzi o podstawową łączność.

Rozszerzone flagi pojawiają się po haśle.brak wyłącza pakiety budzenia; piąte pole (liczba) kontroluje przesyłanie EMM. W większości konfiguracji czteroznakowa forma powyżej to wszystko, czego potrzebujesz.

Gdzie znajduje się CCcam.cfg i jak odbiornik go odczytuje

Na urządzeniach Enigma2 działających na CCcam, konfiguracja zazwyczaj znajduje się w/var/etc/CCcam.cfg. Niektóre wersje używają/etc/CCcam.cfg — Zaloguj się przez SSH i sprawdź obie. Odbiornik odczytuje ten plik przy starcie i po restarcie CCcam (poprzez menu wtyczek lubinit.d). Zmiany nie wchodzą w życie, dopóki CCcam się nie zrestartuje.

Jeśli używasz OScam na odbiorniku jako klient (łącząc się z zdalnym serwerem OScam), odpowiednik znajduje się woscam.server jakoprotocol = cccam blok czytnika wskazujący na zdalny host.

Linie F, linie N i limity przeskoków Reshare

Linie F w CCcam.cfg definiują, co ten odbiornik udostępnia klientom downstream:

F: clientuser clientpass 1 0 { 0:0:0 }

Pola po danych uwierzytelniających to downhops i uphops. Downhops kontroluje, jak daleko CW propaguje się w dół z tego węzła; uphops to liczba przeskoków w górę, które klient może zobaczyć. Większość serwerów celowo ogranicza reshare do przeskoku 1 lub 2 — głębokie łańcuchy reshare dodają opóźnienia przy każdym przeskoku, a jeśli łańcuch jest wystarczająco długi, CW może dotrzeć po oknie rotacji, co powoduje zacięcia.

Linie N są przeznaczone do połączeń protokołu Newcamd i zawierają klucz DES na użytkownika:

N: server.host 10000 user pass 01 02 03 04 05 06 07 08 09 10 11 12 13 14

Wysokie liczby przeskoków reshare są powszechną ukrytą przyczyną sporadycznych zacięć. Konfiguracja może działać dobrze przy niskiej liczbie widzów i zacząć zastygać, gdy serwer staje się bardziej obciążony, ponieważ oczekujące ECM dodają kilka setek milisekund do każdego przeskoku w łańcuchu.

Testowanie linii i odczytywanie statusu połączenia

Na odbiorniku Enigma2 działającym na CCcam, przejdź do panelu informacji CCcam (zwykle w sekcji Wtyczki → Informacje CCcam). Zobaczysz każdą linię serwera z jej statusem połączenia, liczbą widocznych kart i — co najważniejsze — czasem odpowiedzi ECM w milisekundach.

Zdrowy czas ECM to zazwyczaj poniżej 400 ms. Poniżej 200 ms jest solidne. Jeśli widzisz 600 ms lub więcej, spodziewaj się zacięć. Konsekwentnie rosnące czasy ECM wskazują na obciążenie serwera lub zator sieciowy, a nie problem z konfiguracją. Płaska wysoka liczba (powiedzmy, zawsze 800 ms) sugeruje odległość geograficzną lub problemy z trasowaniem pakietów.

Rozwiązywanie problemów: Brak kanałów, zacięcia i 'Karta nie znaleziona'

Większość problemów z udostępnianiem kart można podzielić na trzy kategorie: CW w ogóle nie dociera, CW jest błędne lub sam tuner DVB ma problem z sygnałem, który nie ma nic wspólnego z udostępnianiem kart. Mieszanie tych problemów marnuje godziny.

Czarny ekran vs Zaszyfrowany kanał — Diagnozowanie różnicy

Zaszyfrowany lub blokowy obraz (nie czysty czarny ekran) oznacza, że kanał jest poprawnie strojeny, ale dekodowanie nie działa. Sygnał jest obecny; CW nie jest. Czysty czarny ekran jest bardziej prawdopodobnie problemem tunera — błędna częstotliwość transpondera, zła napięcie LNB lub SID, który po prostu nie znajduje się w uprawnieniach karty.

Zanim obwinisz udostępnianie kart za czarny ekran, sprawdź siłę sygnału oraz SNR/BER w diagnostyce tunera odbiornika. Udostępnianie kart nie może naprawić słabego lub brakującego sygnału. Problem z połączeniem LNB, błędne ustawienie DiSEqC lub uszkodzony kabel LNB wygląda identycznie jak problem z subskrypcją z perspektywy użytkownika, ale nie ma nic wspólnego z kartą.

Niezgodność CAID/Dostawca i odczytywanie właściwej lokalnej karty

Wpis w dzienniku "brak pasującego czytnika" w OScam to Twój punkt wyjścia do diagnostyki. Oznacza to, że ECM dotarł dla kombinacji CAID/ident, którą żaden czytnik nie jest skonfigurowany do obsługi. Otwórz interfejs internetowy OScam, przejdź do dziennika na żywo i poszukaj wartości CAID i ident w linii nieudanego ECM. Porównaj je z blokiem czytnika w oscam.server i przypisaniem ident w oscam.user.

Nadawcy czasami aktualizują wartości CAID lub ident dostawcy wraz z aktualizacjami oprogramowania kart. Karta, która dekodowała wszystko dobrze przez miesiące, nagle przestaje działać po aktualizacji OTA, a jedyną wskazówką jest to, że CAID w dzienniku ECM już nie pasuje do oscam.server. Zaktualizuj swoje wartości CAID i ident, aby pasowały do tego, co raportuje dziennik na żywo.

Zapora, NAT i Przekierowanie portów dla serwerów hostowanych samodzielnie

Jeśli hostujesz serwer OScam i klienci spoza Twojej sieci LAN nie mogą się połączyć, port musi być przekierowany na Twoim routerze. Dla serwera nasłuchującego na porcie 12000:

# przykład iptables

Na swoim routerze przekieruj port TCP 12000 do lokalnego adresu IP serwera. Zweryfikuj za pomocąnetstat -tlnp | grep 12000 na serwerze, że OScam jest rzeczywiście przypisany do tego portu.

CGNAT to osobny problem. Jeśli Twój dostawca internetowy umieszcza Cię za NAT klasy operatorskiej, Twój publiczny adres IP nie jest Twój — jest współdzielony między wieloma klientami. Możesz łączyć się wychodząco jako klient bez problemu, ale połączenia przychodzące do Twojego "publicznego" adresu IP nigdy nie docierają do Twojego serwera. Jedynymi realnymi opcjami są VPN z dedykowanym IP, VPS jako przekaźnik lub przejście do dostawcy internetowego, który zapewnia prawdziwy adres routowalny. Nie ma sztuczki z przekierowaniem portów, która naprawia CGNAT z poziomu routera.

MTU, opóźnienie i sporadyczne zacięcia

Intermittentne zamarzanie, które występuje co 7–10 sekund, prawie dokładnie śledzi rotację CW. Nowe słowo kontrolne nie przychodzi przed wygaśnięciem starego. Zacznij od czasu ECM w menu informacji odbiornika — jeśli jest konsekwentnie powyżej 400 ms, to jest twój problem.

Niezgodności MTU w niektórych połączeniach ISP mogą fragmentować pakiety TCP w sposób, który dodaje opóźnienia, szczególnie do małych, wrażliwych na czas ładunków, takich jak odpowiedzi CW. Jeśli wykluczyłeś obciążenie serwera i odległość geograficzną, spróbuj ustawić MTU na interfejsie sieciowym swojego serwera na 1460 lub 1452 i sprawdź, czy czasy ECM się stabilizują.

Utrata pakietów jest tutaj bardziej destrukcyjna niż opóźnienie. Nawet 1–2% utraty na drodze między klientem a serwerem oznacza, że niektóre odpowiedzi CW są gubione lub retransmitowane, a retransmitowana odpowiedź CW po oknie rotacji oznacza zamarzanie. Użyjmtr lubping -f aby sprawdzić ścieżkę pod kątem utraty, zanim zaczniesz szukać problemów z konfiguracją.

Czytanie dzienników OScam w celu zidentyfikowania nieudanych ECM

Włącz szczegółowe logowanie za pomocąoscam -d 255 lub przez interfejs webowy (Konfiguracja → Logowanie, ustaw poziom logowania na debug). Następnie użyj grep, aby znaleźć SID lub CAID kanału:

grep -i "no matching reader" /var/log/oscam/oscam.log

Kluczowe frazy logów do zapamiętania: "no matching reader" oznacza, że routing CAID/ident nie powiódł się. "odrzucony" po linii użytkownika oznacza, że uwierzytelnianie nie powiodło się — błędne hasło lub konto użytkownika nie istnieje. "Błąd sumy kontrolnej DCW" to problem sprzętowy: twój czytnik kart zwraca uszkodzone dane, zazwyczaj z powodu utlenionych styków karty lub niestabilnego czytnika USB PCSC. Wyczyść styki karty izopropanolem lub spróbuj innego czytnika.

Problemy z zegarem odbiornika są niedocenianą przyczyną zamieszania w logach. Jeśli czas systemowy serwera jest znacznie spóźniony (powiedzmy, o 20+ minut), logi uwierzytelniania pokazują odrzucenia, które wyglądają na związane z poświadczeniami, ale w rzeczywistości są oparte na znaczniku czasu. Uruchomntpdate -u pool.ntp.org lub włącz NTP w konfiguracji systemu i upewnij się, że zegar jest zsynchronizowany, zanim obwinisz poświadczenia.

Wybór źródła serwera: kryteria, a nie nazwy

Podstawowe pytanie przy ocenie jakiegokolwiek źródła udostępniania kart brzmi: ile z łańcucha kontrolujesz? Posiadanie lokalnej karty i wynajem linii zdalnej to naprawdę różne sytuacje z różnymi trybami awarii.

Lokalna karta vs zdalna linia — co faktycznie kontrolujesz

Z fizyczną kartą w swoim własnym czytniku kontrolujesz wszystko. Aktualizacje EMM docierają bezpośrednio do karty, możesz zobaczyć status czytnika w OScam i nie jesteś zależny od czasu pracy nikogo innego. Wadą jest koszt i wymóg posiadania ważnej lokalnej subskrypcji.

Zdalna linia oznacza, że ktoś inny posiada kartę i prowadzi serwer. Otrzymujesz linię C, dodajesz ją do swojej konfiguracji i działa lub nie działa. Jeśli ich serwer przestaje działać, nie masz wglądu w przyczynę i nie masz sposobu, aby to naprawić. Ich karta również musi otrzymywać EMM — jeśli konfiguracja posiadacza karty nie obsługuje prawidłowo przekazywania EMM, zobaczysz spadki kanałów po okresach odnowienia subskrypcji, nawet jeśli samo połączenie wygląda na zdrowe.

Wskaźniki stabilności i czasu pracy do oceny

Podczas oceny jakiegokolwiek źródła kart, najbardziej użytecznym testem jest okres próbny, w którym aktywnie obserwujesz czasy ECM pod różnymi obciążeniami — wieczorny szczyt jest trudniejszy dla serwera niż godziny poza szczytem. Źródło, które zwraca czasy ECM 80 ms o 2 w nocy, może osiągnąć 600 ms o 20, gdy liczba jednoczesnych klientów osiąga szczyt.

Spadki połączenia, które wymagają ręcznego ponownego uruchomienia linii C, są czerwonym flagą. OScam automatycznie się ponownie łączy, ale serwer, który regularnie zrywa połączenia, wskazuje na niestabilność gdzieś w ich infrastrukturze. Obserwuj zakładkę "Klienci" w interfejsie webowym OScam, aby zobaczyć częste cykle łączenia/rozłączania u swoich użytkowników jako wskaźnik stabilności serwera pod obciążeniem.

Głębokość ponownego udostępniania, pokrycie CAID i co weryfikować

Dostawca reklamujący długą listę CAID powinien być weryfikowany w odniesieniu do tego, czego faktycznie potrzebujesz. Zapytaj konkretnie, które CAID i identyfikatory są aktywne na karcie — nie tylko to, co mówi marketing. Podłącz linię próbną, otwórz interfejs webowy OScam i sprawdź informacje o karcie dla tego czytnika. Jakie CAID faktycznie się pojawiają? Czy pasują do kanałów, które próbujesz dekodować?

Głębokość ponownego udostępniania powyżej hop 2 jest zazwyczaj bezcelowa i aktywnie szkodliwa dla czasów ECM. Jakiekolwiek źródło ustawiające ponowne udostępnianie na hop 5 lub wyżej albo nie myśli o opóźnieniach, albo próbuje maksymalizować liczbę klientów. Żadne z tych rozwiązań nie jest dobre dla twojej konfiguracji.

Opóźnienie, lokalizacja serwera i jakość peeringu

Geograficzna bliskość do serwera nie dotyczy tylko surowego pinga — chodzi o peering. Serwer oddalony o 500 km na dobrze połączonym centrum danych może przewyższać serwer oddalony o 50 km na zatłoczonym połączeniu domowym. Spinguj adres IP serwera z swojej sieci, zanim zdecydujesz się na linię. Wszystko poniżej 30 ms jest doskonałe; 30–80 ms jest wykonalne; powyżej 150 ms będziesz stale walczyć z czasowaniem ECM.

Po stronie prawnej: uprawnienia do udostępniania kart z kartą poza jej licencjonowanym zakresem oglądania — na przykład udostępnianie jednej subskrypcji w wielu gospodarstwach domowych — zazwyczaj narusza warunki umowy subskrypcyjnej i, w niektórych jurysdykcjach, może być sprzeczne z prawem nadawczym lub prawem autorskim. Szczegóły różnią się znacznie w zależności od kraju i typu subskrypcji. Upewnij się, że rozumiesz, co jest dozwolone w ramach warunków twojej konkretnej subskrypcji, zanim skonfigurujesz cokolwiek.