<div dir="ltr">Allowed_pairs also let's you add MAC addresses. You can also disable port_security at the port level to remove any restrictions.<div><br></div><div><pre class="gmail-screen gmail-language-none" style="box-sizing:border-box;overflow:auto;font-family:Consolas,Monaco,"Andale Mono",monospace;font-size:0.8125rem;padding:0.9375rem;margin-top:0px;margin-bottom:1.8em;line-height:1.5;word-break:normal;color:rgb(240,240,240);background:rgb(37,37,37);border:0.0625rem solid rgb(26,26,26);border-radius:0px;direction:ltr"># neutron port-create net1 --allowed-address-pairs type=dict list=true mac_address=<mac_address>,ip_address=<ip_cidr></pre></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Apr 5, 2022 at 3:44 PM lejeczek <<a href="mailto:peljasz@yahoo.co.uk">peljasz@yahoo.co.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
On 04/04/2022 13:53, Sean Mooney wrote:<br>
> On Mon, 2022-04-04 at 09:04 +0100, lejeczek wrote:<br>
>> Hi guys.<br>
>><br>
>> Has anybody solved that puzzle?<br>
>> Or perhaps it's not a puzzle at all, I'd imagine might be<br>
>> trivial to experts.<br>
>><br>
>> First I thought - and only thought so far thus asking here -<br>
>> 'allowed_address_pairs' I'd need but that obviously does not<br>
>> do anything as 'wireguard' creates its own ifaces.<br>
>> So.. how do you get your 'wireguard' in openstack to route<br>
>> (no NAT) to instances' local network(s)?<br>
> i have not done this but i suspect you would need to enable the subnet used by wireguard<br>
> in the allowed adres pairs as you said on the instnace that is hosting the wireguard endpoint.<br>
> then set a staic route in the neutron router so other instance knew how to acess it.<br>
> openstack router set --route destination=<wireguard subnet>,gateway=<host vm ip> <router><br>
> you might also need to confiure some sequirty group rules but im not certin on the last point.<br>
But doesn't openstack's neutron do some mac "firewalling", <br>
which if it does, would "brake" that wireguard iface <br>
always/anyways, right?<br>
I see that and more weird instance network behavior, when I <br>
set wg iface to use IP on instance's local net, which IP <br>
otherwise work - with allowed_address_pairs - when set as a <br>
secondary IP to a "real" iface.<br>
<br>
Also, is what you suggest "admin" end or can be done by <br>
non-admin consumer?<br>
<br>
many thanks, L.<br>
<br>
<br>
> if you run wireguard in a vm it is basicaly becomeing a router which is not something that  we typicaly<br>
> expect vms to do but other service like octavia do this when they deploy loadblancers and the vpn as a service exteion similar<br>
> did this in the past so this should be possibel with the exising api.<br>
>> many thanks, L.<br>
>><br>
<br>
<br>
</blockquote></div>