<div dir="auto"><div dir="auto">Could you send us more details about your deployment - e.g. kolla version and image info? And please try to check neutron-openvswitch-agent log - errors regarding applying iptables rules should be there.</div><div dir="auto"><br></div><div dir="auto">I've encountered similar behavior when trying to run a nftables OS image (Debian 10) on iptables OS image (Ubuntu 16.04). You can try it by running</div><div dir="auto">   sudo update-alternatives --query iptables</div><div dir="auto"><br></div><div dir="auto">If it's the case, option to force legacy iptables has been added - <a href="https://review.opendev.org/#/c/685967/">https://review.opendev.org/#/c/685967/</a>.</div><div dir="auto"><br></div><div dir="auto">Best regards,</div><div dir="auto">Jan</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Dne po 6. 1. 2020 0:56 uživatel Laurent Dumont <<a href="mailto:laurentfdumont@gmail.com" target="_blank" rel="noreferrer">laurentfdumont@gmail.com</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Do you happen to have the bug ID for Centos?</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Jan 5, 2020 at 2:11 PM Jon Masters <<a href="mailto:jcm@jonmasters.org" rel="noreferrer noreferrer" target="_blank">jcm@jonmasters.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">This turns out to a not well documented bug in the CentOS7.7 kernel that causes exactly nat rules not to run as I was seeing. Oh dear god was this nasty as whatever to find and workaround.<br>
<br>
-- <br>
Computer Architect<br>
<br>
<br>
> On Jan 4, 2020, at 10:39, Jon Masters <<a href="mailto:jcm@jonmasters.org" rel="noreferrer noreferrer" target="_blank">jcm@jonmasters.org</a>> wrote:<br>
> <br>
> Excuse top posting on my phone. Also, yes, the namespaces are as described. It’s just that the (correct) nat rules for the qrouter netns are never running, in spite of the two interfaces existing in that ns and correctly attached to the vswitch.<br>
> <br>
> -- <br>
> Computer Architect<br>
> <br>
> <br>
>>> On Jan 4, 2020, at 07:56, Sean Mooney <<a href="mailto:smooney@redhat.com" rel="noreferrer noreferrer" target="_blank">smooney@redhat.com</a>> wrote:<br>
>>> <br>
>>> On Sat, 2020-01-04 at 10:46 +0100, Slawek Kaplonski wrote:<br>
>>> Hi,<br>
>>> <br>
>>> Is this qrouter namespace created with all those rules in container or in the host directly?<br>
>>> Do You have qr-xxx and qg-xxx ports from br-int in this qrouter namespace?<br>
>> in kolla the l3 agent should be running with net=host so the container should be useing the hosts<br>
>> root namespace  and it will create network namespaces as needed for the different routers.<br>
>> <br>
>> the ip table rules should be in the router sub namespaces.<br>
>> <br>
>>> <br>
>>>>> On 4 Jan 2020, at 05:44, Jon Masters <<a href="mailto:jcm@jonmasters.org" rel="noreferrer noreferrer" target="_blank">jcm@jonmasters.org</a>> wrote:<br>
>>>> <br>
>>>> Hi there,<br>
>>>> <br>
>>>> I've got a weird problem with the neutron-l3-agent container on my deployment. It comes up, sets up the iptables<br>
>>>> rules in the qrouter namespace (and I can see these using "ip netns...") but traffic isn't having DNAT or SNAT<br>
>>>> applied. What's most strange is that manually adding a LOG jump target to the iptables nat PRE/POSTROUTING chains<br>
>>>> (after enabling nf logging sent to the host kernel, confirmed that works) doesn't result in any log entries. It's as<br>
>>>> if the nat table isn't being applied at all for any packets traversing the qrouter namespace. This is driving me<br>
>>>> crazy :)<br>
>>>> <br>
>>>> Anyone got some quick suggestions? (assume I tried the obvious stuff).<br>
>>>> <br>
>>>> Jon.<br>
>>>> <br>
>>>> -- <br>
>>>> Computer Architect<br>
>>> <br>
>>> — <br>
>>> Slawek Kaplonski<br>
>>> Senior software engineer<br>
>>> Red Hat<br>
>>> <br>
>>> <br>
>> <br>
<br>
</blockquote></div>
</blockquote></div></div>