Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 13215 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web filter and NetFlix.

RIGeek
So recently I made the jump from pfSense to Sophos UTM at home for my core firewall. I'm having an issue with NetFlix but before I get into it. I've already done days of troubleshooting, google searches and such. 

The issue is seen only with netflix apps. Samsung Smart TV app, Android and iOS app, all seem to not work with the Sophos UTM Web Filter in transparent mode. 

Here is what I've done so far. I've set a static IP on my TV, made an exception rule for that IP that will exclude it from everything I could check (Authentication / Caching / Block by download size / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate trust check / Certificate date check). A bit excessive but hey I was still having issues after just excluding it from antivirus, URL filter and SSL scanning. 

Once I did that the NetFlix app on the TV will work but fails with a very generic message after streaming anywhere from 30 seconds to 3 minutes into the video. 

At this point I started with Google searches. I found the suggested exception list so I added that, excluding from ALL filtering and such. This was the filter: 

Matching these URLs:	^https?://([A-Za-z0-9.-]*\.)?nflximg\.com\.?/

^https?://([A-Za-z0-9.-]*\.)?nflxvideo\.net\.?/

^https?://([A-Za-z0-9.-]*\.)?netflix\.com/

^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism

^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism

^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism

^https?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*

^https?://secure\.netflix\.com/*

^https?://uiboot\.netflix\.com/*

^https?://nintendo.nccp.netflix.com/

^https?://customerevents.netflix.com/

^https?://api-global.netflix.com/

^https?://([A-Za-z0-9.-]*\.)?nflxvideo.net/

^https?://ipv6_1.lagg0.c[0-9]{1,3}.[A-Za-z][A-Za-z][A-Za-z][0-9]{1,3}.ix.nflxvideo.net/

^https?://([A-Za-z0-9.-]*\.)?nflximg\.net\.?/

^https?://cdn[0-9].nflximg.com/

^https?://cdn[0-9].nflximg.net/

^https?://108.175.[0-9]{1,3}.[0-9]{1,3}/\?o=([A-Za-z0-9.-]*\.)?

or Coming from these user agents:	Mozilla/5.0 (compatible; U; Nflx) Netflix/[0-9].[0-9].[0-9]

Gibbon/[0-9]{1,4}.[0-9]{1,4}.[0-9]{1,4}/[0-9]{1,4}.[0-9]{1,4}.[0-9]{1,4}: Netflix/[0-9]{1,4}.[0-9]{1,4}.[0-9]{1,4} (DEVTYPE=NFX[0-9]{1,4}-[0-9]{1,4}-; CERTVER=[0-9]{1,4})


After that, still no change at all. The app still randomly fails. 

Next I disabled scanning of all HTTPS. Still fails.

Lastly I disabled web filtering all together, NetFlix works just fine on all devices.

Rebooted the UTM, tried again with web filter on. Fails after 1-3mins with the same generic error. Turn Web Filter back off, it works just fine.

At this point I do not see any module blocking any traffic to or from my TV. I've had (at one point) 5 or 6 different live monitors up. None show anything being blocked but the NetFlix app still fails.


Thanks all.


Oh, the hardware I'm using for this UTM:

Supermicro 1U X7SPA-H
Intel Atom D525
8GB DDR3
2x Intel 82571EB Gigabit NIC
2x Intel 82574L Gigabit NIC


This thread was automatically locked due to age.
Parents
  • 0
    Generally, most people, depending on the device, will bypass the Web Protection features completely.  This depends on if you are using transparent mode.  If using standard mode, you may need to perform additional tasks.  I, and many others, have found it too much of a pain to try and put in proxy exceptions.  The main problem is trying to keep up with all the random content delivery networks and ip ranges that change constantly.  If it is your TV or a streaming device, set the ip to static, go to "Web Protection -> Filtering Options -> Misc -> Transparent Mode Skip List -> enter your devices there"  That should help.
  • 0 in reply to Euphrates_01
    Generally, most people, depending on the device, will bypass the Web Protection features completely.  This depends on if you are using transparent mode.  If using standard mode, you may need to perform additional tasks.  I, and many others, have found it too much of a pain to try and put in proxy exceptions.  The main problem is trying to keep up with all the random content delivery networks and ip ranges that change constantly.  If it is your TV or a streaming device, set the ip to static, go to "Web Protection -> Filtering Options -> Misc -> Transparent Mode Skip List -> enter your devices there"  That should help.


    Thank you but yes, the first thing I did was go into my 2012 domain controller (that is also my DHCP server), set a static for the TV and made an exception rule for not only the web filter but every check. Still, 1 to 3 mins of streaming and the TV stops to complain about network connectivity. NOTHING is being reported as being dropped from any module on the UTM but packet captures show packets going unanswered randomly. 

    The odd thing is, I put the web filter into standard mode and now the TV works just fine. In transparent mode though, no streaming netflix from my TV, tablet or anything else that works off of an app.

    I have been playing with this for a week and I am also a certified Sophos engineer and a partner Sophos distributer, professionally. This setup is purely home and home lab environment so I'm using the home license and software install. I put the specs above though, it's not crap hardware. It's a new Supermicro D525 Atom server board. When streaming Netflix CPU load goes up to about 10%, so not even maxing out a single core.
Reply
  • 0 in reply to Euphrates_01
    Generally, most people, depending on the device, will bypass the Web Protection features completely.  This depends on if you are using transparent mode.  If using standard mode, you may need to perform additional tasks.  I, and many others, have found it too much of a pain to try and put in proxy exceptions.  The main problem is trying to keep up with all the random content delivery networks and ip ranges that change constantly.  If it is your TV or a streaming device, set the ip to static, go to "Web Protection -> Filtering Options -> Misc -> Transparent Mode Skip List -> enter your devices there"  That should help.


    Thank you but yes, the first thing I did was go into my 2012 domain controller (that is also my DHCP server), set a static for the TV and made an exception rule for not only the web filter but every check. Still, 1 to 3 mins of streaming and the TV stops to complain about network connectivity. NOTHING is being reported as being dropped from any module on the UTM but packet captures show packets going unanswered randomly. 

    The odd thing is, I put the web filter into standard mode and now the TV works just fine. In transparent mode though, no streaming netflix from my TV, tablet or anything else that works off of an app.

    I have been playing with this for a week and I am also a certified Sophos engineer and a partner Sophos distributer, professionally. This setup is purely home and home lab environment so I'm using the home license and software install. I put the specs above though, it's not crap hardware. It's a new Supermicro D525 Atom server board. When streaming Netflix CPU load goes up to about 10%, so not even maxing out a single core.
Children
No Data
Unfiltered HTML