DD-WRT: VPN inschakelen met uitzonderingen

Sinds 'n paar weken 'n Netgear Nighthawk R7000 met dd-wrt draaien. Ik heb hier via OpenVPN en PIA-login een VPN-server draaien.

Werkt allemaal prima, alle apparaten in mijn netwerk zijn mooi "beschermd".

Echter nu zit ik met o.a. Netflix dat een proxy/vpn detecteert en daardoor niet werkt. Ik moet dus elke keer bij opstarten van Netflix de vpn in m'n router uitschakelen. Dat is te doen, maar niet ideaal. En zeker niet als ik er zelf niet ben en anderen een serie/film willen kijken.

Nu had ik daar een oplossing voor gevonden, al schijnt 't nog allemaal niet super eenvoudig te zijn:
https://www.privateintern...to-bypass-pia-for-netflix

Via dat topic heb ik 't voor elkaar gekregen om 'n uitzondering in de vpn-routing te maken, dacht ik:

So first, go to your Administration -> Commands tab in the DD-WRT config.
In the Firewall section, click Edit and add the following :
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
iptables -t mangle -F PREROUTING
ip route add default table 200 via $(nvram get wan_gateway)
ip rule add fwmark 1 table 200
ip route flush cache

This will add a route that you can use to mark packets coming from devices you want to go over the VPN (i.e you want to go through your normal ISP).

Then for each devices you want to exclude from the VPN, add :
iptables -t mangle -I PREROUTING -i br0 -s <theip> -j MARK --set-mark 1

Dit werkte niet meteen, maar met 'n regel ivm de "kill-switch" lukte 't wel:

iptables -I FORWARD -i br0 -o vlan2 -s <theip> -j ACCEPT

Helaas blijft dit commando niet staan zo lijkt 't. Want bij elke volgende keer dat ik inlogde op Netflix, kreeg ik de proxy/vpn melding.

Ik ben niet zo IT-aangelegd, dus voordat ik vanalles ga uitproberen, dacht ik eerst eens 'n topic te openen om te kijken of er iemand is met 'n (beter) idee of 'n manier om dit goed te regelen

Wie kan me helpen?

azz_kikr schreef op zaterdag 18 maart 2017 @ 10:06:
Blijft het ip van je computer waarop het test hetzelfde? Want je doet immers de uitzondering per ip van het apparaat.
Het is genoeg dat je pc heropgestart is en een nieuw ip neemt altijd?

Blijft hetzelfde ja, ip van de tv is 't trouwens

Trommelrem schreef op zaterdag 18 maart 2017 @ 10:27:
Gewoon een statische route aanmaken voor de gehele Amazon reeks?

Hoe doe ik dat?

Frogmen schreef op zaterdag 18 maart 2017 @ 11:45:
Of het omdraaien in plaats van altijd alles achter VPN, alleen datgene achter VPN wat noodzakelijk is.

En hoe zou ik dit kunnen doen?

Trommelrem schreef op zaterdag 18 maart 2017 @ 12:04:
[...]
Maak in de routetabellen een statische entry aan voor ieder subnet van Amazon.

Kun je me iets specifieker aangeven waar ik dat moet invullen?

8088 schreef op zaterdag 18 maart 2017 @ 16:33:
[...]

Met Policy Based Routing.

Thanks, dit werkt inderdaad!

Liefste zou ik nu nog 'n soort switch hebben om 't voor de apparaten die nu uitgesloten worden toch tijdelijk aan te kunnen zetten, maar voor nu is dit toppie!