Как настроить выборочные маршруты через VPN для Netflix?

Question

[Neodequat]

Всем доброго дня!

Помогите, пожалуйста, разобраться с Нетфликсом. Роутер Asus (AX86U), прошивка от Мерлина. Поднято в OpenVPN несколько VPN (Германия, Швейцария). Через VPN Director настроено так, что весь трафик идет через штатный интерфейс провайдера кроме исключений – заданных диапазонов IP-адресов. Все диапазоны прописывал вручную, долго и мучительно (файлы и таблицы прошивка Asus не умеет).

Без проблем работают Youtube, FB, Instagram, X и пр. Кроме Нетфликс.

При пинге Netflix.com видно, что обращение идет на те айпишники, которые совершенно точно должны проходить через VPN (прописаны в правилах). Но сайт не пингуется никогда, даже если отменить правила и гнать весь трафик через VPN.

При этом если весь трафик направляю принудительно через VPN – Нетфликс прекрасно работает и на ТВ, и на телефоне и в web. Но сайт, кстати, по непонятной причине так и не пингуется.

Более того видно, что правила переадресации срабатывают исправно: например, при обращении на один из прописанных в правилах IP Нетфликса, пусть будет 54.246.79.9, открывается швейцарский Нетфликс если в правилах выбрано перенаправление этого адреса через швейцарский VPN или немецкий, если меняю проброску этого адреса через немецкий VPN, буквально в режиме реального времени можно менять и наблюдать.

То есть правила работают так же, как с Youtube и пр., но когда возвращаюсь к исходной цели и отключаю проброску всего трафика через VPN, оставляя только правила с диапазонами IP, именно Netflix работать перестает (not available при переходе на сайт).

Подскажите, что я делаю не так и почему всё работает кроме Нетфликса, а он прекрасно функционирует только при активации VPN на весь трафик? Я бы подумал, что упустил какие-то IP, но при пинге обращения идут к тем, которые прописал в правилах.

Comments

[Aetae]

Очевидный вариант - он лезет куда-то ещё кроме заданных тобой ip за проверкой.
Переключи всё на vpn отключи всё левое, запусти сниффер и открой нетфликс. После чего проверь все ip\адреса куда он лез.

По поводу ручного мучительно добавления:
1. Если есть возможность - поставь себе https://www.asuswrt-merlin.net/ , это не убогий openwrt, так что с основной задачей роутера проблем не добавит, зато возожностей больше.
2. Иначе - постав себе autohotkey и\или tampermonkey и заскирптуй заполнение.:)

[Дмитрий]

Вот список подсетей автономной системы Нетфликса. Проверь, точно все добавил?
https://ipinfo.io/AS2906
Там таблица IP Ranges , ее надо полностью развернуть , внизу кнопка "Show more IP ranges"

Answer 1

[Alexey Dmitriev]

Установите и запустите Wireshark и запишите весь трафик при обращении к нетфликсу через полный VPN.
Потом адреса проверяйте и превращайте их в подсети через whois.

Comments

[Neodequat]

Спасибо, буду пробовать. Смущает только, что стучится вроде на уже прописанные адреса, по нопробую перепроверить с wireshark.

[Neodequat]

Установите и запустите Wireshark и запишите весь трафик при обращении к нетфликсу через полный VPN

Алексей, добрый день! Установил Wireshark и понял, что совершенно не умею его готовить.

Трафик с адресами, на которые стучится устройство, показывает только для макбука, на котором Wireshark собственно установлен. Куда обращается телевизор, находящийся в той же сети, совершенно не мониторит.

А так идея верная, на ноуте увидел адреса, которые ни в одном источнике не обозначены, прописал их и могу даже на сайт Нетфликса заходить с маршрутом, без полного VPN. Но для приложения на Смарт-ТВ адреса явно другие.

[Alexey Dmitriev]

Neodequat, ищите возможность снять дамп трафика в понятном формате wireshark на роутере, или запустить wireshark или другое на ТВ или перенаправьте телевизор на выход в интернет например через ноутбук или даже смартфон, где можно снять дамп трафика.

[Neodequat]

Alexey Dmitriev, VPN поднят на роутере. Видимо самым простым вариантом будет поднять на ноуте, сделать его точкой доступа для ТВ и снять трафик. Спасибо, буду экспериментировать.

Answer 2

[Drno]

Поставьте публичные DNS на подключения от провайдера, например клоудфларе
Заверните все DNS запросы внутрь ВПН
DNS на клиентах должен быть - IP роутера

Схема для DNS такая по идее Ваш ТВ > роутер > впн > netflix < обратно

Проверьте тут свои DNS. скорее всего он покажет 2 локации - РФ и Ваашего ВПН
https://browserleaks.com/dns
А должна быть только зарубежная локация

Comments

[Neodequat]

Спасибо. На клиенте прописан DNS роутера, на котором поднят ВПН (он не единственный роутер в сети).
DNS в роутере сейчас восьмерки (гугл), 8.8.4.0/24, и 8.8.8.0/24 проброшены через ВПН (для ютюба и пр.), пробовал DNS adguard - без разницы.

[Drno]

Neodequat, что тест днс с сайта показал? Ну и еще есть вероятность что Вы не все домены нетфликса добавили в впн

[Neodequat]

Drno, как буду дома - посмотрю обязательно

[Neodequat]

Drno, только добрался - проверил. Если VPN включаю полный, на весь трафик, то location Switzerland, Zurich, а DNS адреса Сингапур и Швейцария (DataCamp, Cloudflare). VPN Швейцарский, все логично. Если без VPN, то локация Россия, а DNS только Сингапур.