Opnsense im MultiWAN, Probleme mit Disney Plus

[Peterwinkl]

Guten Tag!
Ich bin neu hier im Forum also bitte ich schon einmal um Entschuldigung falls ich hier etwas falsch mache oder übersehe.
Ich verspreche mich zu bessern im Fall der Fälle!

Zum Thema:
Ich habe meine Opnsense mit meinem Vater installiert. Er war über 45 Jahre in der IT und konnte mir bis zu seinem Tod letztes Jahr immer verständlich weiterhelfen.
Jetzt muss ich ohne ihm zurecht kommen und tuhe mir ab und an etwas schwer.

Ich hatte bis Anfangs diesen Jahres eine einfache Internetverbindung über LTE. Die Verbindung wird bei uns in Österreich nur über NAT bereitgestellt und man hat daher keine echte öffentliche IP. (Downloadrate mit glück 50Mbit)
Nun wollte ich mein eigenes VPN um auf meine Daten auch unterwegs zugreifen zu können.
Da die Verbindung immer knapper wurde (Streaming von zwei Fernsehern und dann noch ein Gamer im Jugendzimmer) habe ich mir einen neuen Router mit neuem Zugang besorgt. (5G mit 150Mbit)
Soweit auch alles ok. Alles funktioniert.
Nun habe ich den ISP um eine echte öffentliche IP gebeten um meinen eigenen VPN Server zu erreichen.
Funktioniert soweit. VPN funktioniert. Leider ist es keine Fixe IP aber man nimmt was man kriegen kann.
Seit dem funktioniert Disney Plus nicht mehr. Alle anderen Streaming Dienste sind einwandfrei.
Dann hat sich noch ergeben das die Verbindungen immer wieder mal abgerissen sind.
Was tun?
MultiWAN ist wohl das Ziel.
Eingerichtet und Internet bleibt stabil.
Jetzt ist es so das Disney Plus funktioniert sobald ich den alten Router als primäres Gateway nutze aber sobald ich das 5G Gateway verwende ist damit wieder schluss.
Also Alias mit den Disney Domains erstellt.
Firewall Regel erstellt um den Verkehr für Disney Plus über das LTE Gateway zu leiten.
Funktioniert nur leider nicht.

Ich habe so ziemlich alles was ich finden konnte ausprobiert.
Irgendetwas habe ich falsch gemacht.
Aber was?
Mein Vater hätte wahrscheinlich drei Klicks gemacht und gewusst was los ist und drei Klicks später würde alles funktionieren.
Ich bin leider nicht so schlau und hoffe daher hier auf Hilfe.
Wer es bis hier her geschafft hat dem danke ich jetzt schon für seine Geduld.
MfG
Peter

[osmom]

Hat dein Disney Plus schon jemals über die 150 Mbit Verbindung funktioniert?

[Peterwinkl]

Vielen Dank für die schnelle Antwort.
Ja. Bevor ich die öffentliche IP Adresse bekommen habe. Ab dem Zeitpunkt habe ich den Router auf brige mode gestellt. Dann haben wir einige Tage kein Disney Plus geschaut. Dann ist es erst aufgefallen.
Das es über die 150Mbit Verbindung nicht klappt ist aber schon akzeptiert. Selbst wenn ich eine neue IP bekomme funktioniert es nicht. Die Frage ist warum die Firewall Regel die Disney Plus über die 50Mbit Verbindung schicken soll nicht funktioniert.

Sorry. Ich habe vergessen zu erwähnen das immer der Fehler 73 kommt.
Ich nutze VPN nur für den Zugriff auf meine Daten wenn ich unterwegs bin.
Ich weiß das mein ISP die öffentliche IP von einem Cloud Dienst in Deutschland bereitstellen lässt. Eventuell vergiebt der die "verbrannten" von einem VPN Provider.

[viragomann]

Hallo!

Ich habe vergessen zu erwähnen das immer der Fehler 73 kommt.

Was das bedeutet, weißt du wohl?
Disney blockiert deine IP aus irgendeinem Grund. Vielleicht, weil sie meinen, dass es eine VPN ist, vielleicht, weil die IP ihren Informationen zufolge zu einem Land gehört, in dem sie den Service nicht ambieten.

Du wärst wohl schlauer, wenn sie dir den Grund verraten würden. Könntest ja mal nachfragen.
Nachdem es keine fixe IP ist, muss das aber den ganzen Pool betreffen.

Du kannst auch selbst mal mit einen Internet-Service überprüfen, was zu deiner IP bekannt ist. Bspw. auf
https://www.geolocation.com
https://ipfingerprints.com/geolocation

Die zeigen dir u.a. das Land und den Eigner deiner IP an.
Die Angaben sind aber nicht immer korrekt. Es gibt es noch weitere Services (müsstest die Websuche bemühen), da kannst du vergleichen.

Sind da aber Land oder ISP nicht korrekt, hat letzterer vielleicht seinen neuen IP-Block nicht registrieren lassen. Dann könntest du diesen auffordern, das nachzuholen.

Stimmen die Angaben, nutzt vielleicht Disney einen Geo-Location Service, der seine Daten nicht aktuell hält. Oder sie horten selbst Listen mit VPN-Provider Pools, von welchen ein Pool nicht entfernt wird, wenn der Provider diese schon weitergegeben hat. Da könntest du an Disney herantreten.

Deine VPN ist ja wahrscheinlich ein VPN-Server, der nur Clients von außen in den Netz einbindet. Der kann für das Problem nicht verantwortlich sein.

Also Alias mit den Disney Domains erstellt.
Firewall Regel erstellt um den Verkehr für Disney Plus über das LTE Gateway zu leiten.
Funktioniert nur leider nicht.

Die Regel steht ganz oben im Regelsatz des Interfaces?

Ob es mit den Domains allein funktioniert, kann ich dir auch nicht sagen. Wenn du das beantwortet haben möchtet, könntest du wahrscheinlich in einem anderen Forum mehr Glück haben.
Falls das nicht reicht, wäre vielleicht der bessere Ansatz, den gesamten Upstream-Traffic von der bestimmten Quell-IP (also TV, Box) auf das Gateway zu leiten, und zwar auch DNS-Anfragen. Dazu müssten die Geräte aber für einen öffentlichen DNS Server konfiguriert werden.
Es könnte nämlich sein, dass Disney auf DNS Leaks prüft, und dann wärst du sonst durchgefallen.

[bamf]

Was der Fehler bedeutet, hättest du doch recht schnell rausfinden können https://help.disneyplus.com/en-GB/article/disneyplus-error-73

Disney verweigert deiner IP-Adresse den Zugriff. Das hat gar nichts mit der OPNSense zu tun.

Ich weiß das mein ISP die öffentliche IP von einem Cloud Dienst in Deutschland bereitstellen lässt. Eventuell vergiebt der die "verbrannten" von einem VPN Provider.

Ja, genau danach klingt das. Aber was "von einem Cloud Dienst in Deutschland bereitstellen lässt" überhaupt bedeuten soll, ist mir nicht ganz klar. Kontaktiere deinen ISP, nur der kann dir helfen.

[Peterwinkl]

So!
Das Rätsel ist gelöst!!!!
Ich habe vergessen die DNS Abfrage auch an das richtige Gateway zu schicken.
Dummer Fehler.
Zusätzliche Regel erstellt mit selben Alias, TCP/UDP Port 53 auf das entsprechende Gateway und ganz nach oben geschoben.
Jetzt funktioniert MultiWAN wie erwartet, Disney Plus funktioniert und die Bandbreite ist auch gut.

Bezüglich dem Cloud Dienst: In Österreich ist es nicht üblich eine öffentliche IP zu bekommen. Man hat aber das Recht darauf. Mein ISP ist selbst nur im Netz eines anderen eingemietet. Mit Services wie eine öffentliche IP bereit zu stellen oder die ganze Verwaltung ect. wird auch jemand anderer beauftragt. Aber ist halt eine Preisfrage. Glasfaser bekommen wir hier in den nächsten Jahren nicht und Telefonleitungen sind aus den 50ern und nicht mal DSL fähig. Dann muss man sich leider mit sowas herumschlagen.

An alle ein herzliches Danke für die Hilfe.
Ohne diverse Hinweise wäre ich nicht auf die Lösung gekommen.
MfG
Peter

[Peterwinkl]

Ach ja.
Für alle die es interessiert:
hier die Domain Liste für den Alias:
disneyplus.com
disney-plus.net
bamgrid.com
cdn.registerdisney.go.com
disneyplus.bn5x.net
dssott.com
dssedge.com
bam.nr-data.net
cws.conviva.com
disney-portal.my.onetrust.com
js-agent.newrelic.com
search-api-disney.bamgrid.comdisney.asia
disney.be
disney.bg
disney.ca
disney.ch
disney.co.il
disney.co.jp
disney.co.kr
disney.co.th
disney.co.uk
disney.co.za
disney.com
disney.com.au
disney.com.br
disney.com.hk
disney.com.tw
disney.cz
disney.de
disney.dk
disney.es
disney.fi
disney.fr
disney.gr
disney.hu
disney.id
disney.in
disney.io
disney.it
disney.my
disney.nl
disney.no
disney.ph
disney.pl
disney.pt
disney.ro
disney.ru
disney.se
disney.sg
20thcenturystudios.com.au
20thcenturystudios.com.br
20thcenturystudios.jp
adventuresbydisney.com
babble.com
babyzone.com
beautyandthebeastmusical.co.uk
dilcdn.com
disney-asia.com
disney-discount.com
disney-studio.com
disney-studio.net
disneyadsales.com
disneyarena.com
disneyaulani.com
disneybaby.com
disneycareers.com
disneychannelonstage.com
disneychannelroadtrip.com
disneycruisebrasil.com
disneyenconcert.com
disneyiejobs.com
disneyinflight.com
disneyinternational.com
disneyinternationalhd.com
disneyjunior.com
disneyjuniortreataday.com
disneylatino.com
disneymagicmoments.co.il
disneymagicmoments.co.uk
disneymagicmoments.co.za
disneymagicmoments.de
disneymagicmoments.es
disneymagicmoments.fr
disneymagicmoments.gen.tr
disneymagicmoments.gr
disneymagicmoments.it
disneymagicmoments.pl
disneymagicmomentsme.com
disneyme.com
disneymeetingsandevents.com
disneymovieinsiders.com
disneymusicpromotion.com
disneynewseries.com
disneynow.com
disneypeoplesurveys.com
disneyplus.com.ssl.sc.omtrdc.net
disneyredirects.com
disneysrivieraresort.com
disneystore.com
disneystreaming.com
disneysubscription.com
disneytickets.co.uk
disneyturkiye.com.tr
disneytvajobs.com
disneyworld-go.com
go-disneyworldgo.com
go.com
mickey.tv
moviesanywhere.com
nomadlandmovie.ch
playmation.com
shopdisney.com
shops-disney.com
sorcerersarena.com
spaindisney.com
star-brasil.com
star-latam.com
starwars.com
starwarsgalacticstarcruiser.com
starwarskids.com
streamingdisney.net
thestationbymaker.com
thisispolaris.com
watchdisneyfe.com
104.18.36.46
search-api-disney.bamgrid.com
star.disneyplus.com
disney.my.sentry.io
disney.connections.edge.bamgrid.com
disney.api.edge.bamgrid.com
pcs.bamgrid.com

Diese Liste wird wohl nie ganz aktuell sein. Einige könnte man wohl mit Wildcard zusammenfassen. Ich war nur so froh das es endlich funktioniert das ich jetzt nicht mehr herumspielen wollte.

Jetzt muss ich nur noch mein DynDNS problem beheben und dann bin ich wunschlos glücklich.

[viragomann]

Diese Liste wird wohl nie ganz aktuell sein.

Daher hatte ich ja vorgeschlagen, allen Upstream der jeweiligen Quell-IP an das gewünschte Gateway zu routen. Wäre für mich einfachere Ansatz.
Upstream heißt, du muss das Ziel auf externe IP-Netze beschränken (!RFC1918 Alias).

[bamf]

Kannst du nicht stattdessen auf das AS matchen? Disney hat doch ein eigenes https://bgp.tools/as/11251