This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netflix for Android now being blocked - why?

Currently have a transparent HTTP Proxy enabled. When I try to access Netflix over the android app, I get an error that the service is unavailable. Disabling the proxy fixes it, so it's definitely not an IPS issue.

I was previously able to get this to work by adding the following exceptions:
^https?://[A-Za-z0-9.-]*netflix.com/
^https?://[A-Za-z0-9.-]*llnwd.net/
^https?://[A-Za-z0-9.-]*edgesuite.net/
^https?://[A-Za-z0-9.-]*nflximg.com/
^https?://[A-Za-z0-9.-]*nflxvideo.net

This worked for years but stopped working this week. From what I can tell from the live logs, it looks like Netflix is now using new content servers at the 108.x.x.x address block. From what my traceroutes tell me, there is no DNS name attached to these servers so there is no way for me to mass add them like I did above.

Has anyone else noticed issues? Streaming via HTTP browser works fine.


This thread was automatically locked due to age.
  • if that list of exceptions isn't allowing your devices to stream then it's another config issue.  Every astaro I've put that exception list into it works..although i do not use https scanning.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Finally fixed it - I found two servers my ISP were using to route all Netflix traffic. Added their IP addresses and boom - fixed.

    Very irritating, that's for sure.

    What I want to know is why my ISP has specific servers to route netflix traffic.
  • I have the same problem.  I can't stream from an Apple TV or from a Sumsung smart DVD player.

    I have tried the skips mentioned here (including the video streaming), but no joy.

    I can browse Netflix, pick a show, but the moment I start to stream, I get "An error occurred loading this content".  

    How did you figure out what the ISP was routing to?

    I can't see anything blocked in the firewall log.  I even did a Apple tv - any - any, but no joy.

    If I plug in past the firewall onto another router, it works fine.
  • I have the same problem.  I can't stream from an Apple TV or from a Sumsung smart DVD player.

    I have tried the skips mentioned here (including the video streaming), but no joy.

    I can browse Netflix, pick a show, but the moment I start to stream, I get "An error occurred loading this content".

    How did you figure out what the ISP was routing to?

    I can't see anything blocked in the firewall log.  I even did a Apple tv - any - any, but no joy.

    If I plug in past the firewall onto another router, it works fine.


    If you turn off HTTP proxy does it work?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • I have the same problem.  I can't stream from an Apple TV or from a Sumsung smart DVD player.

    I have tried the skips mentioned here (including the video streaming), but no joy.

    I can browse Netflix, pick a show, but the moment I start to stream, I get "An error occurred loading this content".  

    How did you figure out what the ISP was routing to?

    I can't see anything blocked in the firewall log.  I even did a Apple tv - any - any, but no joy.

    If I plug in past the firewall onto another router, it works fine.


    If your problem is the same as mine, its not the firewall that's blocking it. My problem was that the proxy kept trying to scan the video content which was stopping it from coming through.

    As William said, try disabling the proxy and see if that fixes it. If it does, turn it back on and try disabling the virus scanning. If that fixes it, then the problem is exactly the same as mine.

    Next step would be to open up the proxy (web filtering) live log and then try starting a movie. Make sure you know the IP address of the device you are using to test and look at each domain trying to go through. In my case, I only saw two IP addresses that kept reaearing over and over. Ran a trace route and traced them to my isp's data center. A added the offending IPs to my exception list and Netflix started working again.
  • don't go ip..add by the dns name as many of these places use cdn and load balancing so the ip of your video server most likely will change..use the dns name(available int he logs) you avoid that pitfall.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • I ran into this issue using UTM 9.x (currently running 9.004-34). I thought I'd chime in on this as I recently noticed some key differences between the iOS app (iPhone and Apple TV) and the web based versions that have always worked fine (IE, Firefox, etc.).

    Some history:

    Settings:

    • No custom filters set (other than base install)
    • Anti-virus enabled
    • Transparent proxy enabled with no SSL scan
    • Bypass content scan for streaming content enabled


    Initial result:

    • Netflix app on Apple TV would not stream.
    • Netflix app on my iPhone streamed just fine.
    • Web browser worked fine as well.


    Initial changes to make it work on Apple TV:

    • Tired all the ideas proposed in this thread and others I found, no luck.
    • Exceptions didn't seem to do anything.
    • Set anti-virus to single or double scan, still didn't work
    • Disabled anti-virus scanning and it worked!


    I didn't like that I had to disable anti-virus just for Netflix to work (since the URL and Network exceptions didn't seem to work) so I enabled it and added a source hosts/nets transparent mode exception for the Apple TV. Now that my Apple TV, iPhone and web browsers all worked fine I left it alone until today...

    Today:

    • I updated my iPhone to the new Netflix version 3.0.
    • Guess what... no steaming and I get the error you guys are talking about!
    • Of course my Apple TV was still fine as it is being skipped.
    • I could add my Wi-Fi clients to the exception list but that wouldn't help figure out what is actually going on here.


    I know, get on it with it... My findings:

    I ran through the suggestions in this thread again to no avail. Even tired disabling the IPS rule cited in the known issues post. The only thing that makes it work is to disable anti-virus.

    Looking at the Web Filtering logs I ran some tests. I see some key differences between the web browser versions and the iOS versions.

    From iOS app - Anti-virus enabled (fails):

    2013:02:20-23:11:17 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.20" dstip="108.175.38.85" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="23312" request="0x1c0586c8" url="108.175.38.85/.../188-23499
    2013:02:20-23:11:19 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.20" dstip="108.175.38.85" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="13966" request="0x1c058b30" url="108.175.38.85/1659233568.aac


    From iOS app - Anti-virus disabled (works!):

    2013:02:20-23:16:57 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.20" dstip="108.175.38.85" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="23312" request="0x253be658" url="108.175.38.85/.../188-23499
    2013:02:20-23:16:59 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.20" dstip="108.175.38.85" user="" statuscode="206" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="79920" request="0xbae4eb68" url="108.175.38.85/1659233568.aac
    2013:02:20-23:17:00 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.20" dstip="108.175.38.85" user="" statuscode="206" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="79568" request="0xbae4eb68" url="108.175.38.85/1659233568.aac
    2013:02:20-23:17:00 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.20" dstip="108.175.38.85" user="" statuscode="206" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="629616" request="0x1bef53c0" url="108.175.38.85/45638502.ts.prdy
    2013:02:20-23:17:01 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.20" dstip="8.254.25.126" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="5805304" request="0x1bf641f8" url="nflx.i.8e3bde22.x.lcdn.nflximg.com/.../1662675899.bif


    From web browser (always worked):

    2013:02:20-23:20:52 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.30" dstip="108.175.38.100" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="20502" request="0x12c632f0" url="108.175.38.100/.../0-20501
    2013:02:20-23:20:52 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.30" dstip="108.175.38.100" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="20502" request="0x12c638d0" url="108.175.38.100/.../0-20501
    2013:02:20-23:20:52 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.30" dstip="108.175.38.100" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="20502" request="0x12c8b0b8" url="108.175.38.100/.../0-20501
    2013:02:20-23:20:52 home httpproxy[32241]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.16.1.30" dstip="108.175.38.100" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="134748" request="0x12c632f0" url="108.175.38.100/.../48333-183080


    So what's the difference?

    • When Anti-virus is on we see the first call is of content-type "application/octet-stream". Then the second and last call before the app displays the error is of content-type "audio/mpeg".
    • When Anti-virus is off we see both types of calls initially and throughout the time you stream a video.
    • Notice the status code is sometimes 200 and sometimes 206 (I believe this one means partial content).
    • Finally, compare the above observations to the Web browser results. We don't see the content-type of "audio/mpeg" at all and the status code stays at 200.


    Conclusion?
    I'm not a UTM expert by any means but I do think Netflix has employed different streaming methodologies between the Web browser version and now all versions of the iOS app. Perhaps the UTM streaming content filter or how it classifies the type of streaming content needs to be altered to support both types? Is there a way to add a new type of streaming content in the current version?

    Thanks for reading, sorry for the long post. I'm hopeful we may be onto something here. Also curious if others can see the same results? [:)]
  • For only netflix, there is a known issue.

    ID20900 9.000 IPS rule 15909 affects netflix streaming (vbr)
    ------------------------------------------------------------------------
    Description:  Netflix video streaming is influenced of IPS rule 15909.
                  When streaming netflix video content through the ASG with
                  an "Roku2"-box that uses variable bitrate streaming (HTTP
                  based streaming protocol).
                  
                  Turning the IPS Rule 15909 off solved the problem.
    Workaround:
    Fixed in:


    Nice greetings
  • Thanks for the quick reply but I did say that I tried the IPS known issue and it didn't work.

    Even tired disabling the IPS rule cited in the known issues post.


    I guess that's why it doesn't list a work-around in the posting?


    Turning the IPS Rule 15909 off solved the problem.
    Workaround:
    Fixed in: 


    Or did I misunderstand the meaning of "turning the IPS Rule 15909 off solved the problem"?

    I added a modified rule to IPS to disable rule 15909 and streaming still didn't work.

    Network Protection -> Intrusion Prevention -> Advanced -> Manual rule modification -> 15909 disable this rule.

    Would this not be where you would disable the rule as per the comment in the known issue?

    Thanks
  • I just tested this

    Astaro 9.006-5
    Netflix on iPad
    IPS 15909 disabled 

    Doesn't work

    I tried enabling 15909, but same result (not working)

    I then turned off AV scanning and it does work.

    I am running in Transparent mode for web filtering. 

    Any other ideas on how to get this to work and to keep the AV scanning on?

    Mike