Кардшаринг сервер: настройка CCcam и OScam в 2026

Если ты уже разобрался с теорией и хочешь поднять рабочий кардшаринг сервер — эта статья именно для тебя. Здесь нет воды про «что такое спутниковое ТВ». Только конкретные конфиги, реальные пути к файлам, порты и команды, которые реально нужны при настройке.

Разберём оба популярных демона: CCcam и OScam. У каждого своя логика конфигов, и путаница между ними — самая частая причина того, что сервер «вроде запущен, но не работает».

Что такое кардшаринг сервер и как он работает

Кратко по цепочке: ресивер поймал зашифрованный сигнал, сформировал ECM-запрос (Entitlement Control Message) и отправил его на сервер. Сервер передал запрос к смарт-карте, та выдала DCW (Decryption Control Word) — 8-байтный ключ для расшифровки текущего и следующего пакета. Ключ вернулся клиенту, картинка открылась.

Весь цикл занимает от 50 до 500 мс при нормальных условиях. Если дольше — получаешь фризы.

Принцип работы: DCW, ECM и обмен ключами

ECM обновляется каждые несколько секунд (зависит от оператора, обычно 5–10 секунд). За это время сервер должен успеть запросить DCW у карты и вернуть его клиенту. Если не успел — фриз на 2–3 секунды.

DCW никогда не хранится на сервере постоянно. Каждый раз запрашивается заново. Именно поэтому скорость отклика сервера (ECM time) так важна.

Роль сервера и клиента (peer-to-peer схема)

Интересный момент: один и тот же демон CCcam или OScam может одновременно быть и сервером, и клиентом. Сервер — это тот, у кого физически вставлена карта и кто отдаёт DCW. Клиент — тот, кто принимает. Но демон один и тот же, просто разные секции конфига.

В peer-to-peer схеме несколько серверов обмениваются картами между собой. Один отдаёт Viasat, другой — платный пакет через newcamd. Оба одновременно и клиент, и сервер.

Чем отличаются протоколы CCcam, newcamd и CS378x

CCcam — проприетарный протокол, разработан под Dreambox. Работает на TCP-порту 12000 по умолчанию (диапазон 12000–12010 при нескольких инстансах). Простой в настройке, но закрытый.

Newcamd — открытый протокол, шифрует трафик DES. Порты обычно начинаются с 15000. Поддерживается большинством ресиверов и программных эмуляторов. CS378x (camd35 через UDP) — ещё один открытый вариант, реже используется сейчас, но встречается в старых конфигах.

Настройка сервера CCcam: конфиги и порты

CCcam читает один главный файл конфигурации. На Enigma2-прошивках (Openatv, OpenPLi, OpenDreambox) путь обычно /var/etc/CCcam.cfg. На некоторых старых сборках это /etc/CCcam.cfg. Если не уверен — найди файл командой find / -name "CCcam.cfg" 2>/dev/null.

Структура файлов: CCcam.cfg и CCcam.providers

Кроме основного конфига есть CCcam.providers — таблица идентификаторов провайдеров (CAID и ProviderID). Этот файл нужен для корректного роутинга запросов. В большинстве случаев он поставляется вместе с прошивкой, трогать не нужно.

В CCcam.cfg основные директивы:

SERVER LISTEN PORT : 12000
DEVICE NAME : MyServer
DEBUG LEVEL : 0
LOGFILE : /tmp/CCcam.log

Строки F-line и C-line: синтаксис и поля

F-line — это запись пользователя на сервере. Создаётся на стороне, где стоит карта:

F: username password 1 0 0 { 1702:000000 }

Разбираем поля: username и password — учётные данные клиента. Первая цифра после пароля (здесь 1) — количество разрешённых hops для расшаривания. 0 0 — параметры uphops и downhops. В фигурных скобках — фильтр по CAID, если нужно ограничить доступ к конкретным системам шифрования. Пустые скобки { } — доступ ко всем картам.

C-line прописывается у клиента:

C: 192.168.1.10 12000 username password no

Поля: IP сервера, порт, логин, пароль, и флаг want-emu (обычно no — не запрашивать программные эмуляторы).

Один из параметров, который часто игнорируют: hops в F-line. Если поставить 0 — пользователь может только смотреть, не может расшаривать дальше. Если 1 — может отдавать карту одному уровню клиентов. Чем больше hops — тем выше нагрузка и ECM time.

Открытие и проброс портов на роутере (NAT, port forwarding)

Здесь ломаются 80% настроек. Демон запущен, конфиг правильный, но клиент снаружи не может подключиться. Причина почти всегда одна: порт 12000 не пробит наружу.

В интерфейсе роутера ищи раздел «Port Forwarding» или «Virtual Server». Добавь правило: протокол TCP, внешний порт 12000, внутренний IP сервера (например 192.168.1.10), внутренний порт 12000. Сохрани, перезагрузи роутер.

Проверь внешний IP через любой сервис типа whatismyip, потом с другой машины выполни telnet <внешний_IP> 12000. Если соединение устанавливается — порт открыт.

Отдельная проблема — CGNAT у мобильных операторов и некоторых ISP. В этом случае у тебя нет реального публичного IP, и пробросить порт через роутер физически невозможно. Решение: арендовать дешёвый VPS и поднять туннель через WireGuard или SSH port forwarding. Это не паранойя, это единственный рабочий способ при CGNAT.

Запуск и автозагрузка демона

На Enigma2 перезапуск CCcam:

/etc/init.d/CCcam restart

Или через плагин в меню ресивера, если установлен. Автозагрузка обычно уже прописана в init-скриптах при установке через ipkg/opkg. Проверить:

ps | grep CCcam

Если процесс не виден — демон не запущен. Смотри лог в /tmp/CCcam.log.

Настройка сервера OScam: oscam.server и oscam.user

OScam — это уже другой уровень гибкости. Он сложнее в первичной настройке, но под нагрузкой работает стабильнее CCcam и поддерживает несколько протоколов одновременно. Для серьёзного кардшаринг сервера я бы выбрал OScam.

Каталог конфигов зависит от прошивки: /etc/tuxbox/config/oscam/ на старых Dreambox-прошивках, /var/etc/oscam/ на современных Enigma2-сборках. На некоторых Linux-системах это /usr/local/etc/oscam/. Проверить: find / -name "oscam.conf" 2>/dev/null.

Файлы конфигурации: oscam.conf, oscam.user, oscam.server

oscam.conf — главный конфиг. Здесь глобальные параметры, активация протоколов, лог:

[global]
logfile = /tmp/oscam.log
maxlogsize = 200
ecmwhitelist =

[webif]
httpport = 8888
httpuser = admin
httppwd = changeme123
httprefresh = 10

oscam.server описывает ридеры — физические или сетевые источники карт:

[reader]
label = local_card
protocol = internal
device = /dev/sci0
group = 1
caid = 1702

oscam.user — список клиентов с правами:

[account]
user = client1
pwd = secretpass
group = 1
au = 1

Секции [cccam], [newcamd] и [webif]

Чтобы OScam принимал CCcam-клиентов, добавь в oscam.conf:

[cccam]
port = 12001
version = 2.3.0
reshare = 1

Для newcamd-клиентов:

[newcamd]
port = 15000@1702:000000
key = 0102030405060708091011121314

Ключ key — 14 байт в hex, должен совпадать у клиента и сервера. Без совпадения — соединение отклоняется.

Можно одновременно держать открытыми CCcam-порт (12001), newcamd-порт (15000) и camd35-порт (15001). CCcam не умеет этого из коробки — там один протокол.

Веб-интерфейс мониторинга на порту 8888

Это одна из лучших вещей в OScam. Открываешь в браузере http://192.168.1.10:8888 и видишь всё в реальном времени: какие карты читаются, какой ECM time, сколько клиентов подключено, статус каждого запроса.

ECM time выше 500 мс — сигнал к разбирательству. Норма для локальной карты — 50–150 мс. Для удалённого сервера через интернет — до 300–400 мс. Если видишь 800+ мс стабильно — проблема либо в канале, либо в перегруженном сервере.

Важно: не оставляй веб-интерфейс открытым наружу с дефолтным паролем. К этому вернёмся в разделе про безопасность.

Чтение локальной карты через ридер (PCSC, internal)

На Dreambox и большинстве Enigma2-боксов встроенный картридер обычно это /dev/sci0 или /dev/sci1. Протокол — internal.

Для внешнего USB-картридера используй protocol = pcsc и укажи устройство. PCSC требует установленного pcscd-демона. На некоторых прошивках он идёт в комплекте, на других нужно ставить вручную через opkg.

Частая проблема: карта определяется ридером (в логе видно card detected), но AU/EMM не обновляются. Это значит, что автообновление ключей не проходит. Причины: в oscam.user не выставлен au = 1, или на сервере провайдера сменился CAID/ключ, а локальные EMM-данные устарели. Решение: принудительно сбросить кеш, перезапустить OScam и подождать первого цикла обновления (5–10 минут).

Диагностика и устранение типовых ошибок

Добрая половина проблем решается элементарной проверкой доступности порта и чтением логов. Не надо сразу перечитывать весь конфиг.

Нет подключения: проверка порта через telnet и логов

Первый шаг всегда такой:

telnet 192.168.1.10 12000

Если соединение зависло или получаешь «Connection refused» — порт либо закрыт фаерволом, либо демон не запущен. Проверь ps | grep oscam или ps | grep CCcam.

Если telnet подключился (появился пустой экран или мусорные символы) — демон слышит запросы. Значит проблема в логине/пароле или неправильном формате строки подключения.

Фризы картинки: hops, нагрузка, ECM time

Фриз на 2–3 секунды каждые несколько минут — классический симптом высокого ECM time. Открой веб-интерфейс OScam (порт 8888) и смотри на колонку ECM time в реальном времени.

Причины высокого ECM time в порядке частоты:

• Перегруженный сервер — слишком много клиентов на одну карту
• Большое значение hops (3 и выше) — запрос идёт через несколько посредников
• Нестабильный интернет-канал — пакеты теряются или идут долго
• Высокий пинг до сервера — географически далеко или плохая маршрутизация

Норма ECM time: до 300 мс — хорошо, 300–500 мс — приемлемо, выше 500 мс — уже начнутся фризы на чувствительных каналах.

Отдельный случай: высокий ECM time только на части каналов. Это значит, что разные каналы обслуживаются разными картами или серверами, и один из источников медленный. В OScam это видно в логе — у каждого ECM-запроса указан ридер, который его обработал.

Ошибка чтения карты и проблемы AU/EMM

Статус not found в логе означает, что ни одна из доступных карт не смогла расшифровать ECM. Варианты:

Первый — неправильный CAID. Оператор мог сменить систему шифрования или обновить ключи. Смотри актуальный CAID в oscam.server для твоего ридера.

Второй — карта есть, но AU не работает. Если оператор обновил ключи через EMM, а обновление не прошло, карта начнёт отдавать ошибки. В логе это выглядит как серия ECM failed после периода нормальной работы.

Третий — статус no caid available. Означает, что OScam вообще не нашёл ридер с нужным CAID. Проверь секцию [reader] в oscam.server — правильно ли указан caid и group, и совпадает ли группа с тем, что прописано в oscam.user.

Анализ логов oscam и CCcam

Лог OScam — /tmp/oscam.log (путь задаётся в oscam.conf). Ищи строки с ECM:

2026/03/15 14:23:01 c (client1) ECM found (1702&000000/ABCD, 127ms)
2026/03/15 14:23:08 c (client1) ECM not found (1702&000000/ABCD)

Первая строка — нормально. Вторая — карта не смогла расшифровать. Если not found идут серией, смотри на ридер и актуальность ключей.

Лог CCcam по умолчанию в /tmp/CCcam.log. Там менее детальная информация, но подключения клиентов и ошибки аутентификации видны.

Увеличить детализацию логов OScam можно через веб-интерфейс (раздел Files → Log) или поменяв уровень в конфиге: loglevel = 4 в секции [global].

Как выбрать провайдера кардшаринга: критерии без названий

Конкретные названия сервисов здесь намеренно не называю — рынок меняется быстро, и завтра хороший сервис может стать плохим. Вместо этого — список критериев, по которым легко отфильтровать нормальных провайдеров от мусора.

Аптайм сервера и стабильность ECM time

Хороший провайдер публикует статистику аптайма или даёт тестовый доступ, по которому ты можешь сам всё замерить. За первые сутки теста должно быть видно: держится ли ECM time в норме (до 400 мс) и нет ли периодических обрывов.

Обрывы раз в несколько дней — терпимо (перезагрузка сервера). Обрывы каждые несколько часов — это не сервер, это проблема.

Количество локальных карт и реальных пиров

Спроси напрямую: сколько локальных карт и какие CAID они покрывают. Честный провайдер ответит конкретно. Если в ответ идут уклончивые «много каналов» и «все пакеты» — это плохой знак.

Чем больше посредников (hops) между тобой и реальной картой — тем выше ECM time и риски. Лучший вариант: сервер с локальными картами и hops = 1 для твоего подключения.

Поддержка протоколов и тестовый период

Нормальный кардшаринг сервер в 2026 году должен поддерживать как минимум CCcam и newcamd. Если поддерживается только один протокол — это ограничение совместимости.

Тестовый период — обязателен. 24–72 часа минимум. Без теста — либо провайдер не уверен в своём продукте, либо рассчитывает на то, что ты не вернёшь деньги за плохой сервис.

Признаки ненадёжного сервиса

Красные флаги, которые я бы воспринял как причину уйти:

• Обещание «5000+ каналов» — реальное количество каналов определяется картами, а не маркетингом
• Нет ответа на вопрос «какие CAID поддерживаются»
• Поддержка только через форму с ответом через 48 часов
• Нет тестового доступа или тест стоит денег
• Пинг до сервера выше 100 мс при заявленном «быстром соединении»

Безопасность сервера и юридический аспект

Технически кардшаринг сервер с собственными официально оплаченными картами — это легальная история в большинстве юрисдикций, если ты не перепродаёшь доступ и не нарушаешь условия договора с оператором. Но как только начинается коммерческая продажа аккаунтов к чужим картам — это уже другая история с другими последствиями. Проверь законодательство своей страны самостоятельно.

По технической безопасности — тут часто всё грустно. Люди поднимают сервер и забывают про элементарные вещи.

Защита веб-интерфейса и смена дефолтных паролей

Дефолтные учётные данные OScam (admin/admin или admin/changeme) — первое, что нужно поменять. В oscam.conf:

[webif]
httpport = 8888
httpuser = mylogin
httppwd = V3ryStr0ngP@ss

Выбирай нормальный пароль. Веб-интерфейс OScam показывает всю конфигурацию сервера, логи и позволяет управлять пользователями. Открытый без пароля интерфейс в интернете — это подарок всем, кто сканирует порт 8888.

Ограничение доступа по IP и фаервол

Если у тебя фиксированный IP или ты знаешь диапазон IP своих клиентов — добавь ограничение в OScam:

[webif]
httpallowedfrom = 192.168.1.0/24,203.0.113.5

Для фаервола на Linux используй iptables или nftables. Минимальный набор: закрыть всё, открыть только нужные порты (12000/tcp для CCcam, 8888/tcp для веб-интерфейса — и только с доверенных IP).

iptables -A INPUT -p tcp --dport 8888 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 8888 -j DROP

Порт CCcam (12000) тоже стоит ограничить по IP, если клиентов мало и их адреса известны.

Легальное использование собственных подписных карт

Используешь собственные карты, за которые сам платишь оператору — настраивай спокойно. Даёшь доступ другу в той же домашней сети через локальный сервер — в большинстве стран это серая зона, но обычно не преследуется. Продаёшь аккаунты посторонним людям — это уже нарушение и авторских прав, и договора с провайдером.

Раздел про легальность написан не для того, чтобы напугать. Просто знай, где граница.