NetGear DGN3500B: IP Bereich in Firewall sperren? (Youtube)

[felsi]

Hallo,

ich besitze den NetGear DGN3500B Router und würde gerne einen bestimmten IP Bereich sperren.
Hintergrund ist, dass bei mir Youtube seit einigen Wochen unerträglich langsam ist (DSL 6000). Nach einiger Recherche habe ich herausgefunden, dass dies an meinem Provider (Telekom) liegen könnte. Die Lösung könnte nun das Sperren eines bestimmten IP Bereichs sein:

Youtube beschleunigen: So umgehen Sie eine etwaige Drosselung
Es gibt nun grundsätzlich zwei Möglichkeiten: Sie können die IP-Adressbereiche 173.194.55.0/24 und 206.111.0.0/16 in ihrem Router sperren, wenn der diese Firewall-Funktion unterstützt und Sie mit der Konfiguration des Routers vertraut sind. Das hat den Vorteil, dass Sie diese Aktion für alle Rechner in ihrem Netzwerk nur einmalig ausführen müssen.

http://www.pcgameshardware.de/Youtube-Thema-163920/Specials/Youtube-beschleunigen-1067506/

Das habe ich versucht, allerdings weiß ich nicht genau, wie und wo ich das bei meinem Router genau einstellen muss. Ich habe anbei mal zwei Screenshots beigefügt. Wäre super, wenn ihr mir weiterhelfen könntet.

PS. Oder gibt es eventuell auch eine andere Lösung?

Vielen Dank.

 

[DeusoftheWired]

Die Funktion in deinem Router ist zwar eher dafür gedacht, unliebsame Protokolle wie z. B. BitTorrent draußen zu behalten, aber dein zweiter Screenshot sieht so aus, als könnte man das doch dazu benutzen, die beiden Adreßbereiche zu sperren. Vorher aber die Frage: Hast du den Artikel zuende gelesen? Bevor man mit einer unbekannten Funktion im Router experimentiert, weshalb nicht gleich den vorgeschlagenen Konsolenbefehl nutzen? Der funktioniert garantiert.

netsh advfirewall firewall add rule name="YoutubeCDN" dir=in action=block remoteip=173.194.55.0/24,206.111.0.0/16 enable=yes

Das gilt dann natürlich nur für das Windows auf dem Rechner, auf dem man diesen Befehl ausgeführt hat, nicht für sämtliche Geräte im Netz. Sollten sich aber die IPs bzw. Netze des YT-CDN verändern, mußt du die Regel selbstverständlich anpassen.

 

[=DarkEagle=]

Auf dem 2 Screenshoot musst Du im Feld WAN-benutzer ggf. die Adressbereiche eingeben. So eindeutig ist die Bezeichnung aber auch nicht.

 

[felsi]

Hallo,

danke schon mal.
Ich bin auf einem MacBook unterwegs, hätte aber am liebsten aber eine Lösung für den Router, da dann allen Rechnern im Netzwerk geholfen wäre.

Den Adressbereich habe ich dort schon mal eingegeben, allerdings hilft das nichts. Daher wollte ich fragen, ob jemand von euch mir genau sagen kann, was ich wo und wie eingeben muss.

Danke noch mal.

 

[DeusoftheWired]

Kann man auch für Apfelsysteme auf der Konsole eingeben, bin aber grad zu faul, das rauszusuchen. ;P

Weil es zwei Netze ( 173.194.55.0/24 und 206.111.0.0/16) sind, mußt du zwei ausgehende Regeln definieren:

----- 1 -----

Ausgehende Dienste

Dienst: Any(ALL)

Aktion: Immer VERBIETEN

An LAN-Server senden: leer lassen

WAN-Benutzer: Start 173.194.55.1
WAN-Benutzer: Ende 173.194.55.255

Protokoll: Immer

-----

----- 2 -----

Ausgehende Dienste

Dienst: Any(ALL)

Aktion: Immer VERBIETEN

An LAN-Server senden: leer lassen

WAN-Benutzer: Start 206.111.0.1
WAN-Benutzer: Ende 206.111.255.255

Protokoll: Immer

-----

Damit sich die Regel auf den Bereich auswirkt bzw. damit du überhaupt erst mal einen IP-Bereich eingeben kannst, ist es möglich, daß du aus der Drop-Down-Liste bei WAN-Benutzer nicht „Beliebig“ sondern so etwas wie „Bereich“ auswählen mußt.

 

[felsi]

Vielen Dank. Habe alles wie von dir beschrieben eingegeben (siehe Screens). Leider funktioniert es immer noch nicht. Youtube bleibt lahm Im Protokoll wird leider auch keine Übereinstimmung angezeigt, wenn ich ein YT Video aufrufe.

 

[DeusoftheWired]

Okay, das sieht doch schon mal gut aus. Fragt sich jetzt nur, weshalb es trotzdem noch so langsam ist. Eine Möglichkeit ist, daß seit der Erstellung des Artikels weitere Server(farmen) mit anderen IPs zu Google/YouTubes CDN hinzugekommen sind. Da der Artikel schon 16 Monate alt ist, ist das gar nicht mal so unwahrscheinlich. Du kannst unter Mac OS mit netstat herausfinden, zu welchen IPs dein Rechner eine Verbindung aufgebaut hat. Wenn sie in dem Bereich liegen, der eigentlich durch die beiden Regeln im Router gesperrt sein sollte, greifen die Regeln und wir müssen uns die beiden noch mal anschauen. Sind es andere IPs, greifen die Regeln wohl, decken aber nicht alle Bereiche des YT-CDNs ab. Schwierig wird nur, aus der Vielzahl der angezeigten Verbindungen genau die herauszufischen, die dein Browser zum YT-CDN hergestellt hat.

Eine ganz andere Methode ist das Verwenden des HTML5-Players von YT. Ist zwar nur pro Gerät, aber hast du es damit mal probiert?

 

[felsi]

Danke dir nochmals.
Ich habe nun ausschließlich ein Youtube-Video geöffnet und per netstat -ap TCP folgendes Ergebnis erhalten:

Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 192.168.0.4.53533 17.172.208.47.https ESTABLISHED
tcp4 0 0 192.168.0.4.53526 74.125.99.149.https ESTABLISHED
tcp4 0 0 192.168.0.4.53523 fra02s22-in-f12..https ESTABLISHED
tcp4 0 0 192.168.0.4.53522 fra02s17-in-f25..https ESTABLISHED
tcp4 0 0 192.168.0.4.53521 173.194.116.131.https ESTABLISHED
tcp4 0 0 192.168.0.4.53520 fra02s17-in-f8.1.https ESTABLISHED
tcp4 0 0 192.168.0.4.53519 fra02s22-in-f0.1.https ESTABLISHED
tcp4 0 0 192.168.0.4.53518 fra02s22-in-f0.1.http ESTABLISHED
tcp4 0 0 192.168.0.4.53517 74.125.99.149.https ESTABLISHED
tcp4 0 0 192.168.0.4.53516 fra02s22-in-f7.1.https ESTABLISHED
tcp4 0 0 192.168.0.4.53515 fra07s32-in-f6.1.https ESTABLISHED
tcp4 0 0 192.168.0.4.53513 173.194.116.139.https ESTABLISHED
tcp4 0 0 192.168.0.4.53512 74.125.99.149.https ESTABLISHED
tcp4 0 0 192.168.0.4.53511 173.194.116.137.https ESTABLISHED
tcp4 0 0 192.168.0.4.53510 fra02s19-in-f8.1.https ESTABLISHED
tcp4 0 0 192.168.0.4.51347 17.172.208.201.imaps ESTABLISHED
tcp4 0 0 192.168.0.4.51286 17.172.208.201.imaps ESTABLISHED
tcp4 0 0 192.168.0.4.51285 17.172.208.201.imaps ESTABLISHED
tcp4 0 0 192.168.0.4.51284 17.172.208.201.imaps ESTABLISHED
tcp4 0 0 192.168.0.4.49192 17.130.254.34.5223 ESTABLISHED
tcp4 0 0 localhost.ipp *.* LISTEN
tcp6 0 0 localhost.ipp *.* LISTEN

Ganz schlau werde ich daraus jetzt aber nicht. Ist 173.194.116.131 nun die Adresse zu YT?

Edit: HTML5 nutze ich übrigens.

Edit2: Ok, ich habe nun einfach mal noch einen weitere Firewall-Regel hinzugefügt, und zwar von
173.194.116.131 - 173.194.116.139

Danach habe ich ein YT Video aufgerufen und im Protokoll tatsächlich ein Match erhalten:


Mon, 2015-01-05 11:20:15 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:20:13 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:20:12 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:20:11 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:20:11 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:20:11 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:20:11 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:59 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:47 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:34 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:27 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:23 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:20 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:19 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:18 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:18 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]
Mon, 2015-01-05 11:19:18 - TCP Packet - Source:192.168.0.4,53578 Destination:173.194.116.135,443 - [Any(ALL) rule match]

Die Frage ist nun, greift diese Regel nun für alle YT Videos? Und vor allem: Bringt das jetzt überhaupt etwas? Momentan kann ich es nicht testen, da YT morgens grundsätzlich gut läuft. Die Probleme treten hauptsächlich abends auf.

 

[DeusoftheWired]

Gut geloggt!

Laut ARIN gehört das gesamte Netz 173.194.0.0 – 173.194.255.255 zu Google. Schwierig ist bei der Sache, herauszufinden, ob Google dieses Netz ausschließlich als CDN für YT nutzt, oder ob sie dort auch andere Dienste betreiben. Mir fällt leider nichts ein, außer es über stumpfes Ausprobieren zu testen.

 

[felsi]

Ich habe noch ein wenig rum probiert. Es scheint tatsächlich zu funktionieren, wenn ein Video in diesem IP-Bereich ist, kann ich es nicht abspielen (was ja der Sinn der Firewallregel sein dürfte). Das Problem dabei ist, das Video wird dann nicht über eine andere IP geladen, sondern bleibt immer auf dieser IP. Damit kann ich es erst gar nicht anschauen, was natürlich keinen Sinn macht.

Ich verstehe daher den ganzen "Lösungsansatz" mit dem Sperren eines IP-Bereichs nicht. Muss ich wohl mit einem extrem langsamen YT leben - oder den Provider wechseln, was ich 2015 sowieso vorhabe.

 

[DeusoftheWired]

Schade, daß das Probieren nichts gebracht hat. :/

Der Lösungsansatz aus dem Artikel sah so aus, daß man bestimmte Bereiche sperrt, die als CDN dienen, und YT dadurch zwingt, die Videoinhalte auch von der IP auszuliefern, von der man z. B. auch die Elemente der YT-Startseite erhält. Dummerweise ist der Artikel schon 16 Monate alt, da kann es sehr gut sein, daß YT in der Zwischenzeit etwas geändert hat.

Bei mir wird ein Ping zu youtube.com zur 173.194.112.3 aufgelöst. Du kannst probieren, zu welcher IP es das bei dir macht und dann mal alle aus diesem Bereich außer dieser einen zu sperren. Funktionsgarantie gibt’s aber leider nicht.

Proxtube und Konsorten hast du sicherlich auch schon ausprobiert, oder?