Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 20 replies
  • Answers 2 answers
  • Subscribers 4 subscribers
  • Views 171586 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netflix - I'm really stumped

Remuflon
After months of troubleshooting, we have finally traced all our Netflix problems to the Sophos UTM firewall.

We have a Samsung Smart TV. We stream Netflix to it.  We have run the whole house through Sophos UTM for the whole time, nearly 2 years.  It has been 100% rock solid until December 2014. Suddenly Netflix started throwing an error "tvp-811 we’re having trouble playing this title right now."

We tried everything.  I spent over 15 hours on the phone both with Samsung and Netflix engineers.  We reflashed the firmware on the tv, reinstalled the netflix app, changed it to another country, in short, we did EVERYTHING.  Nothing got rid of the error.  Samsung and Netflix support gave up.

In desperation, I rigged a cable down to the TV and bypassed the Sophos firewall.  Amazingly, the error went away.  I could stream a video for over 30 minutes with no error.  I reconnected Sophos back and the error immediately returned.

Then I started disabling options in Sophos.  I turned off QOS, Application Control, Advanced threat protection, everything I could find.  In each case, the netflix stream continued to die in 2 - 7 minutes.

I have spent months on this issue.  I am out of ideas. Again, Netflix worked before for years, until an update (I don't know exactly which one) from Sophos.  Now it is unusable.  We are currently on 9.305-4.

I have no rules blocking the TV.  It is pass-through, wide open, no blocking of any kind.

Another thing.  This only affects Netflix.  Everything else works, like YouTube, Amazon streaming, etc.  If I bypass Sophos, everything is good again.


This thread was automatically locked due to age.
  • 0
    Network Protection->Intrusion Prevention->Advanced->Modified rules: Disable rules 32817, 32816
  • 0
    I added your rules and I was able to stream for 40 minutes before it failed again.

    This raises a few questions.
    I didn't think any snort rules would even matter, because yesterday I tried disabling Intrusion Prevention and the error still occurred.

    Second question:  My TV is in a DMZ (I don't trust the Korean or Chinese appliances on my core network).  So, in "global IPS settings" should the DMZ be in the "local networks" pool or not?  I can't find anything on this in the documentation.

    I don't see anything in the snort log except for the reloads when I configure it.

    And thanks again for your advice.
  • 0
    It´s rule 32817 and 32818 not 32816, sorry! My netflix did not stop at all after the change.
  • 0
    Hi NSH, I will put in the rules and test, and thanks for your efforts.

    I still would like to understand how this could make any difference if I have completely disabled Intrusion Protection, and the problem persists.  Am I not understanding?
  • 0
    Hello Netflix+Sophos users,

    I just had a frustrating phone call with Sophos Tech Support about a "How to pattern for Netflix traffic, specifically."

    I see the Rule exceptions above and perhaps that is A workable answer.

    What I'm really as interested in is more than just A workable answer .... more a workable pattern for Netflix that can be adopted by 100's perhaps 100,000s of "admins" for Sophos UTMs and Appliances that minimize trouble.

    I'm wondering if anyone has even found the right forum to answer this kind of question.... Is this the right forum? Do others that may find my plea have a better forum or way to communicate about working together to not reinvent a wheel like this one..... I my mind the issue must effect virtually every Sophos UTM in the world, as Netflix use is about the largest single percentage of traffic in the world.

    Idea's? IRC Channel with a FAQ Wiki for Design Patterns for Sophos UTM rules for particular use cases of which Netflix is a huge one.
  • 0
    Netflix was working here for years, perfectly.  Then around mid December, it started popping up an error every 3 minutes.  Only on the Samsung TV.  On the PC it is fine.

    We spent many many hours trying to fix it and have given up now.
  • +1
    Hello. I will do my best to try and answer TJSoftworks question here (since I am the Sophos Engineer he spoke to this morning).

    "What I'm really as interested in is more than just A workable answer .... more a workable pattern for Netflix that can be adopted by 100's perhaps 100,000s of "admins" for Sophos UTMs and Appliances that minimize trouble."

    Many streaming media services simply do not function well, or not at all, through a proxy or in some cases with IPS enabled and so need to be bypassed. But there is also (at least) one wrench in this process since Netflix for example, works differently depending on whether its through a browser, a mobile device or as Remulfon discovered, on smart TV's or other embedded devices. Therefore, what may work as a solution for one way of accessing Netflix may not work for others (unless Netflix is bypassed entirely from going through the proxy).

    In my own environment I have 4 mobile devices, a dozen PC's running Linux and/or Windows, 6 streaming media devices, 3 smart TV's and 4 BD players with a Netflix app and even one lonely Apple TV box. The way I addressed the Netflix issue while running the proxy in Transparent mode was to ensure all mobile devices, streaming media devices, embedded Netflix players and all Smart TV's were added to the list of "Skip transparent mode source hosts" for the HTTP proxy. Now all players had no trouble streaming Netflix. And since these are not PC's I am not really concerned about them going through the proxy anyway.

    However, this could also be accomplished with "Skip transparent mode destination hosts/nets" so long as you can identify all host that would be used for Netflix, possibly with a DNS object.

    So in summary, there simply is no one single way to resolve the issue of streaming media services not always working reliably, or at all, through an HTTP proxy and unless you can bypass the source or destination globally, you are left with a step-by-step process of testing access, finding what is being blocked and creating suitable exceptions - a process which can sometimes lead down a rabbit hole of opening one site/block, only to be followed by more, and when you unblock those, then more and so on and so on.

    Hope this helps [:)]
  • 0
    If you goto Network Protection >> Intrusion Prevention >> do you have an exception for your Samsung TV.
    personally i do not have a smart TV however my ROKU is working when i am skipping  Intrusion Protection / Anti-Portscan / Anti-DoS/Flooding TCP / Anti-DoS/Flooding UDP / Anti-DoS/Flooding ICMP
  • 0 in reply to jag2000
    Hm...I assume there are also other Netflix threads here in the forum. However - I post here my settings which qorks quite fine for me

    Web Proxy Exception Skipping
    - Caching
    - Block by download size
    - Antivirus
    - Extension blocking
    - MIME type blocking
    - Content Removal
    - (and optional authentication, if in use):

    Matching these URL's

    ^https?://([A-Za-z0-9.\-_]*\.)?nflximg\.com
    ^https?://([A-Za-z0-9.\-_]*\.)?nflxvideo\.net
    ^https?://([A-Za-z0-9.\-_]*\.)?netflix\.com
    ^http:\/\/(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})\/range\/


    Works fine for me for watching Netflix on Chromecast or on the iPad or Android Apps.
    Watching Netflix on my PC's (Linux using Chrome) works perfectly without any exception.
    Also no entries in transparent proxy skiplist required...

    Recommendation: As it's from a security perspective maybe not a preferable idea to skip content filtering for IP based access instead URL's by using the ^http:\/\/(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3}) regex, I additionally recommend to restrict that exception to the required Netflix Clients only.
  • 0
    Jag: yes, in fact I tried disabling Int Prot completely, it did not help the problem.

    Again, everything worked for years, then just stopped.  I had a Roku and it worked too.
    Only the smart-tv app has a problem, and only since December.

    BTW Samsung says the TV is broken.  I REALLY don't think that's possible that only one app on a linux device is broken because of hardware.
Unfiltered HTML