Netflix for Android now being blocked - why?

FYI - I have experienced the exact same problem that Silence reported.  Like Silence & va3mw, my experience is that Netflix on the iPhone is triggering AV blocking, so I don't understand why disabling an IPS rule would help (and they both report it doesn't).  I created the following exception in Web Protection > Web Filtering > Exceptions, which seems to do the trick:

Name: Netflix broken pipe
Skipping: Antivirus
Match these URLS: 
^http?://([A-Za-z0-9.-_]*\.)?nflximg\.com/.*
^http?://108\.175\.((3[2-9])|(4[0-7]))\.[0-9]{1,3}/.*

The first rule matches traffic to URLS with the nflximg.com addresses (this is the first traffic I saw blocked)

The second rule matches traffic to URLs with an IP in the range from 108.175.32.0-108.175.47.255.  I got this IP range by going to arin.net and looking up the IP I was seeing in my logs.  This gave me a range of IPs that Netflix owns.

The second rule is counter to what one wants to do when filtering web traffic, because for large sites that use a CDN provider, the IP can be anything.  Luckily, it looks like Netflix may be its own CDN provider, so hopefully the IP range I picked will work for a long time....   

Of course, doing this assumes Netflix won't get hacked and start serving viruses that the AV would catch.  But at least it allows you to keep AV on for the rest of your web browsing.

Running Astaro UTM 9.1

Same issues but its happening on my ps3 connected via wlan. Of course messing about on the web protection webadmin screen  whilst trying to stream to test I came to the realization it was the av. Doing a google search of "astaros av netflix" brought me here.

Silence hit this nail on the head with his description of the av picking up on different stream types. This makes sense considering Netflix has to make efficient streams they may be using some different methods as they have paying customers that at any point can stream any of the content at any time across pretty much any device. 

What sucks is that we have to make exceptions to the ip, to bad theres no exceptions to the kind of streaming etc, come to think of it.. the box the you tick to bypass checking streams should be removed completely its out of place there. I say add it to exception rules and allow us to manipulate it further and more in depth !

Edit: Well after firing up steam and having issues, mixed with netflix no captive portal, ad blocking, poor layout of dhcp settings it looks like that untangle install on my hd thats sitting on my desk is going right back into my box. Good luck everyone and I hope you get this and anything else settled. I will add that I really liked the pie charts of activity and the addition of trim though even that seems a bit complicated. 

I think astaros is best suited for company routers hence why we seem to have so much trouble with things where trying to do at home.

After turning on the web filter for Sophos UTM 9 I lost Netflix streaming on the PS3 and Roku 3, but the computer worked just fine. Once going through this thread and spending sometime kicking off a stream and watching the web filter log I have both running Netflix just fine. Below are my exceptions:

^http?://([A-Za-z0-9.-]*\.)?netflix\.com/.*
^http?://([A-Za-z0-9.-_]*\.)?nflximg\.com/.*
^http?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*
^http?://([A-Za-z0-9.-]*\.)?nflxvideo\.net/.*
^http?://([A-Za-z0-9.-]*\.)?playstation.nccp.netflix\.com/.*
http://108.175.*.*

The last one is not the best, but some of the Netflix IP addresses did not resolve to a fully qualified name and the PlayStation actually has a subnet on Netflix. 

I know this is an older thread, but I hope some of this helps. However, you cannot get this to work without playing and looking at the log.

Happy Streaming!!

Dolph

Similar to the above issues I have problems streaming Netflix from devices like the iPad, even though it works in OS X. 

It works when disabling the Webfliter, or when disabling Virus Scanning and Scanning of HTTPS (SSL) Traffic. Even when disabling virus scanning, I get the error "Failed to verify server certificate" when starting a Netflix stream within the iPad App:

Log:

httpproxy[3906]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.15" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0xd69b6b0" url="173.255.139.178" exceptions="" error="Failed to verify server certificate"

httpproxy[3906]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.15" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0xe240820" url="69.4.229.173" exceptions="" error="Failed to verify server certificate"

Adding the following exception gets it working:

Netflix
Skipping:	SSL scanning
Matching these URLs:	
https://173.255.*.*
https://69.4.*.*

But this is not a good solution, as it is difficult to predict which IP ranges Netflix might be using. I've also imported the troublesome Netflix server certificate (screenshot below) to Firefox and then imported it into Sophos UTM, but the error remains. 



When importing the Netflix certificate into the OS X Keychain it gives the following warning: "this certificate was signed by an unknown authority". On OS X I can override this by marking it as 'trusted' anyway. Can I do something similar in Sophos UTM?
Is there anything else to try?

i've got a support ticket open for a similar issue on my wii..what i did(i do run AD here) is my wii is a dns howst so i put that dns host inside the http proxy bypass in the advanced section.  I'll alert support to this as well..

An older thread, but I'll add my 2cts. Just bought an Android Stick to watch Netflix on my TV. And found that the following exception (HTTPS scanning and AV) in Web Filtering works (for now):

^http?://([A-Za-z0-9.-]*\.)?netflix\.com/.*
^http?://([A-Za-z0-9.-_]*\.)?nflximg\.com/.*
^http?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*
^http?://([A-Za-z0-9.-]*\.)?nflxvideo\.net/.*
^http?://([A-Za-z0-9.-]*\.)?playstation.nccp.netflix\.com/.*
^http://108\.175\.18[89]/
^http://37\.77\.18[89]/

I have to mention that the last two rows containing the IP-addresses will probably grow.
The first day I tested it, only the first rule of IP-addresses was necessary, but today (exactly 1 day later), I had to add the second row.
You can find these addresses listed in the web filtering live log.

What also works is putting the entire host in skip transparent mode source hosts/nets but then you will loose all filtering for these hosts and that's not what I am looking for, especially with some younger also using the Internet.

I Think I´ve got this up and running now with the following exceptions:

^https?://([A-Za-z0-9.-]*\.)?nflximg\.com\.?/
^https?://([A-Za-z0-9.-]*\.)?nflxvideo\.net\.?/
^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism

The last three lines will search for URL with an IP address followed by / and a set of 8 to 10 digits .ism

I´ve only been able to see 8-10 digits so far in the URLs:

http://37.77.190.143/583965064.ismv?c=se&n=2119&v=3&e=1390954148&t=Ga_bP80FpqNca7bM7ofjcRyLbEI&d=ipad&p=5.3pZiMMwF6dKb0SeGoMue_5urD3snfmPuzace-ZI4UMc

http://37.77.190.143/578994075.isma?c=se&n=2119&v=3&e=1390954148&t=AyaESxyclmYTcrczQ3dfPiH_uhU&d=ipad&p=5.3pZiMMwF6dKb0SeGoMue_5urD3snfmPuzace-ZI4UMc

Hopefully this is enough to get Netflix running.

Is there a way to add a new type of streaming content in the current version?

As Silence mentioned I think this would be fixed if the streaming content types was updated to include:

application/octet-stream

After looking at my logs i'm running into the exact same issue.  This is the content type sent by the netflix servers and it is *not* currently on the list of content types for streaming.   

I think this would be the most correct way to fix the issue.  Is there anyway to update the list manually through CLI ? or do we have to wait for an update?

I've just disabled virus scanning for now until there is an easier way.  I don't feel like tracking down individual content server IPs and adding them as exceptions.

you don't have to....if it is a console or other mobile device it's a longstanding issue.  Put the mobile device in the proxy bypass section of the http proxy..then you can leave a/v on for everything else.  if it is your desktop i have a small but effective list of exceptions for you to try.

After implementing several of the suggestions on this thread I finally found a definitive way to solve this issue and collect a solid exception list that work for all my networks IOS devices.

First, I installed the freely available Splunk Enterprise to collect the Sophos UTM logs over syslog.  I made an Exception, skipping checks for all Anti-Virus, then allowing data to pass to my mobile device.  I then started the Netflix Mobile app on my iPhone, videos streamed great.  I went to Splunk and determined the list of all URL's the iPhone connected to during that sequence.  

Using those URL's I composed the following exceptions list:

^https?://108\.175\.38\.195
^https?://so0\.akam\.nflximg\.com
^https?://ios\.nccp\.netflix\.com
^https?://api-global\.netflix\.com
^https?://cdn1\.nflximg\.net
^https?://api\.crittercism\.com
^https?://tp\.akam\.nflximg\.com
^https?://so1\.akam\.nflximg\.com
^https?://webvtt\.nflxvideo\.net
^https?://presentationtracking\.netflix\.com
^https?://customerevents\.netflix\.com
^https?://ichnaea\.netflix\.com
^https?://cdn[0-9]*\.nflximg\.net
^https?://gsp10-ssl\.apple\.com
^https?://init-p01st\.push\.apple\.com
^https?://courier\.push\.apple\.com

This works great on all IOS devices in my house now. Hope this helps.  You need further information on how I used Splunk just let me know.