[9.070][CLOSED] SSL Remote Access VPN - all traffic blocked with or without auto firewall

Do you use backend groups for the profile that is not working?
And if yes: is it working when you drag in the users directly instead of the backend group?

I have a single user applied to the profile.  No groups.  Locally authenticated.  I have tried disabling Auto Firewall rules in the policy and created my own "permit any from VPN pool to Internal and DMZ networks" rule and the VPN traffic is still blocked.  I have tried substituting my username as the source address in this rule as well but it still shows up as being blocked in the firewall log.

Please, let me know if there is anything I can provide you to assist.

Thanks,

Chris

We tried, but cannot reproduce this issue in our lab with a fresh setup.

Please check the status of the user's network definition object in WebAdmin after the user is connected via SSL VPN.

Go to "Definitions & Users » Network Definitions" and select "Users/Groups" in the dropdown box on top instead of "All". Now find the the user network definition for the user that just connected. If there is no such network, that's a problem. But that should never happen [tm]. Now, click the (i) button for that network and copy/paste all information for the network here.

ruhllatio (User Network) 1 IPv4 addresses
Known IP addresses of user 'ruhllatio'


Used in these configurations:
  Management → WebAdmin Settings → General
  Web Protection → Web Filtering → URL Filtering
  Network Protection → Firewall → Rules
  Remote Access → L2TP over IPsec → Global
  Management → User Portal → Global
  Remote Access → Cisco™ VPN Client → Global
  Network Protection → Advanced → SOCKS Proxy
  Network Protection → Firewall → Rules
  Remote Access → PPTP → Global
Used by these objects:
01) Network Protection → Firewall → Rules → Created from upgrade: ipsec_connection roadwarrior_cisco (for ruhllatio to Any)
02) Network Protection → Firewall → Rules → Any from ruhllatio (User Network) to Demil (DMZ) (Network) (2)
03) Definitions & Users → Users & Groups → Users → ruhllatio
 
  Web Protection → Web Filtering → URL Filtering
  Remote Access → L2TP over IPsec → Global
  Management → User Portal → Global
  Network Protection → Advanced → SOCKS Proxy
  Remote Access → Cisco™ VPN Client → Global
  Remote Access → PPTP → Global
04) Network Protection → Firewall → Rules → Created from upgrade: ipsec_connection roadwarrior_cisco (for ruhllatio to Any) (2)
Last changed at 2013-03-06, 11:55 by ras_update.plx (127.0.0.1)

Can also confirm that using the same user account fails to pass traffic once connected with the Cisco VPN Client functionality on an iPhone 5 Running 6.1.2.  Same symptoms.  Can ping servers, everything else is blocked via the Firewall.  No amount of manual rule creation permits the traffic.

That looks about right. Thanks for checking.

Next step is to check the packetfilters. In WebAdmin go to: Network Protection » Firewall and select "Automatic firewall rules" instead of "User-created firewall rules". Now you should be able to see the auto packetfilter rules for the SSL VPN profile in question. Make sure you user network is included here.

Next log into a root shell with ssh and run the command: `iptables -vnL AUTO_FORWARD`. You should see the rule(s) for your currently assigned IP address from the SSL VPN pool here when you are connected. You can see you assigned address when you go to Remote Access in WebAdmin.

Please report for findings here.