Exception rule for Netflix streaming?

Hi,

just joined, and loving 9.3, but have hit the Netflix "snag".

I'm experimenting with the workarounds William proposed, and that looks to work (thanks William!), but a proper fix would be great.

Any movement on it?

Escalation in germany is having trouble seeing the issue as i have explained it.  They are focused on another bug int he proxy which doesn't affect things like netflix.  I am still trying to get them to look in the right set of datapoints..i think the language barrier is a problem here..[:)]

William - many thanks for all your hard work on this. It would be good to get a resolution from Sophos.

My fix is this:
I've set static IP reservations for all the android/other non-working Netflix enabled devices, and put this in a host group.
I've made an AV-bypass only exception for this group, so I don't lose the other controls I have in place.

Hello,
Netflix is really horrible to get to work with this UTM 9.3.

How did you make this AV-bypass only exception, I do not see how I can do this?


For the moment I have put blocks of subnets in the skip transparent mode destinations so I could make my Android tablets to work.

The media and bluray players, TV, even the PS3, I have put in the skip transparent mode source hosts and this works. I had to add the Nintendo DS3 too, as it did not connect to Netflix at all.

thank you!
Adrian

Hello

Not sure if I already posted this somewhere in that forum.

For Netflix in the web browser I don't use special exceptions - even with HTTPS scanning on (at least on PC/Web Browsers).

Networking devices as chromecast or tablets I use a network group for those devices with statically assigned IP's and create a exception for 

"coming from these networks" and "matching following URLs":

^https?://([A-Za-z0-9.\-_]*\.)?nflximg\.com

^https?://([A-Za-z0-9.\-_]*\.)?nflxvideo\.net

^https?://([A-Za-z0-9.\-_]*\.)?netflix\.com

^http:\/\/(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})\/range\/

skipping caching, download size, extension and mime type blocking, URL filter and content filter.

works quite nice.

what does that last exception cover sacsha?

Can somebody make a request for improvement to Sophos to be able to export and import the exception rules individually or several selected ones?

It is much too complicated and error prone to create exception rules and input them line by line. There is also no editing of a line you have typed in.

I am also trying this post with exceptions including Netflix https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/p/45070/161552#161552

Thank you!
Adrian

Can somebody make a request for improvement to Sophos to be able to export and import the exception rules individually or several selected ones?

It is much too complicated and error prone to create exception rules and input them line by line. There is also no editing of a line you have typed in.

I am also trying this post with exceptions including Netflix https://www.astaro.org/174194-post2.html

Thank you!
Adrian

I have been trying to get UTM escalation to see what is causing this..i've detailed it more than once on these forums..it is just the engineers in germany aren't apparently understanding where i am trying to point them due to the language barrier.  If i hear form escalation again and they say i'm wrong again i'm going to get somebody to talk to them who speaks german from these forums(preferably a reseller) that can explain in their language what is going on..maybe in a conference call with me so we can get this nailed down..[:)]

what does that last exception cover sacsha?

pure IPv4 addresses.
4x 1...3 numbers between 0-9 with dots in between.
Chromecast (or was it the ipad NF app?) sometimes accesses data without domain, but direct via IP as http://x.x.x.x/range/ or something like that.

As you usually don´t want to except direct IP access from your betwork to internet (most likely some bad stuff happening), I also restricted this for specific source devices only, instead of generally allowing (due exception widely unfiltered) direct IP access.

From my personal view every legitimate vender / app / software shold access internet by a legitimate URI instead a IP. [H]

I have been trying to get UTM escalation to see what is causing this..i've detailed it more than once on these forums..it is just the engineers in germany aren't apparently understanding where i am trying to point them due to the language barrier.  If i hear form escalation again and they say i'm wrong again i'm going to get somebody to talk to them who speaks german from these forums(preferably a reseller) that can explain in their language what is going on..maybe in a conference call with me so we can get this nailed down..[:)]

Thank you for trying to get this fixed by the the Sophos UTM support and development. 
Netflix is available in Germany since September 2014 at https://www.netflix.com/de/ so this probably means there are not enough Netflix users with Sophos UTM  in Germany to complain to them directly.

I also use the Unotelly services to be able to switch to different Netflix countries on my dedicated players, but for this I have to use the skiplist because it would not work with the transparent proxy.


Kind Regards,
Adrian

Netflix is available in Germany since September 2014 at https://www.netflix.com/de/ so this probably means there are not enough Netflix users with Sophos UTM  in Germany to complain to them directly.

I assume it´s more like other usually "home use" requests as IPTV (IGMP proxy) or default gaming exceptions...While Sophos listens lot to their customer base (which includes the home users too), they have to priorize their R&D resources to get issues fixed, and business relevant features implemented, which are requested by the paying customers. Understandable behaviour from my personal view. Don´t know, how many companies / customers sees Netflix as a business relevant application [:D] So that´s for what this forum also is existing...here are many threads about NF issues and how the users solved them.

...but for this I have to use the skiplist because it would not work with the transparent proxy.

As I wrote in my post above - this also should work fine without transparent skips (pls. post here, which hosts / ranges you skipped). For me my mentioned exceptions works nice for all types of NF clients I use (PC´s/Webbrowser, Chromecast, NF app on Android and iOS...).

/Sascha