Jeglichen Traffic über VPN leiten, bis auf TV-NOW Streaming

enJOyIT

Hi,

ich möchte meine Firewall so einstellen, dass jeglicher Traffic bis auf der zum Streaming Dienst TV-NOW durch einen VPN geleitet wird. Regeltechnisch ist das kein Problem.

Jedoch weiß ich nicht welche IPs (bzw. Ranges) von TV-NOW verwendet werden und über Firewall-Log-Einträge komme ich irgendwie nicht weiter.

Hat da jemand eine Idee oder sowas schon irgendwo realisiert?

Viele Grüße und Danke!

noplan

@enjoyit

haben clients von tvNow auch noch anderen traffic ?

enJOyIT

@noplan

Ja, deswegen bräuchte ich so eine Lösung.

NOCling

Wenn die nicht dokumentiert sind, also die IPs, besser FQDNs über die der Dienst läuft, wird das im revers eng. enden.

Aber den hier kennst du schon:
"anonymes" surfen mit VPNs

Ich surfe auch über mein eigenes VPN wenn ich im Hotel sitze und auch von da schon mal an meine NAS, Sense usw. run schraube.

enJOyIT

@nocling

Ich habe parallel den Support von TVNOW angeschrieben. Weil Netflix z.B. gibt auf ihrer Seite auch offiziell die IPs heraus die sie nutzen.

Ich hoffe da kommt was brauchbares.

Ansonsten: Hat einer eine Idee wie ich das sinnvoll auswerten kann? Bin jetzt nicht so der Netzwerkspezi.

NOCling

Eine Regel ganz oben rein für einen Client der das nutzt, dann logging einschalten und mit der Logging ID im Log der Sense schauen.
Da findest du dann aber nur die IPs.

Für die FQDNs könntest du dann im DNS Cache nach der IP suchen um dann ggf. die URL raus zu finden.

noplan

@nocling

Das wird richtig Arbeit...
Jeden Tag die logs foltern und in den alias eintragen der über das andere gateway rausgeht

Könnt man nicht auch einen pfB alias
Dafür hernehmen... Zugegeben etwas schräg aber immerhin...

enJOyIT

Habe mir jetzt mal etwas Mühe gegeben und ein paar IPs ermittelt.

Also habe ich folgende Regeln für das LAN aufgebaut:

Sind die Regeln so ok, oder habe ich da einen Denkfehler?

In VPN_URLS_FREIGEGEBEN kommen die IPs/URL rein die nicht durch den VPN sollen.

Dann möchte ich einen Kill-Switch einrichten, der verhindert, dass die Clients ins Netz kommen wenn der VPN versagt.

P.S.
Kann ich einen zweiten VPN-Tunnel aufbauen und unter die erste Regel setzen, dass im Falle eines Ausfalls, dann der zweite Tunnel genommen wird und danach erst der Killswitch?

enJOyIT

Also so: