<div dir="ltr"><div><div><div>Hi Akshay,<br><br></div>You won't get an ARP reply at your physical router unless it's on the same network as your VM, which it isn't if it's behind a neutron router.<br><br></div>It sounds like you still need to add a route on your physical router to push all tenant network traffic down to the external interface of your neutron router.  You should then be able to access your instances from your physical router as allowed by the instance security group rules.<br></div><div><div><div><div><div><br><div class="gmail_quote"><div dir="ltr">On Tue, Jan 19, 2016 at 3:35 PM Akshay Kumar Sanghai <<a href="mailto:akshaykumarsanghai@gmail.com">akshaykumarsanghai@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Aaron,<div>The physical router is not getting a arp reply for the vm from neutron router when snat is disabled. When floating ip is used, the router creates one more interface on its qg- interface for that floating ip associated with the vm and when arp request is broadcasted, the neutron router does a proxy arp.</div><div>How did you solve the proxy arp reply problem when you implemented the snat disabled router and without assigning a floating ip?</div><div><br></div><div>Thanks,</div><div>Akshay</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 19, 2016 at 10:26 PM, Aaron Segura <span dir="ltr"><<a href="mailto:aaron.segura@gmail.com" target="_blank">aaron.segura@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>It's possible.  We do it all the time.<br><br></div><div></div><div>However, without proper routing, Kevin and Joseph are correct.  The VM will never receive replies to outbound packets because the upstream devices don't know where to send them.<br><br></div><div>I also forgot to mention - The edge device also needs to NAT the fixed IP of the VM to a public IP if you intend for your VMs to access the Internet.  We use a global PAT rule to catch any VMs without a floating IP and allow them egress on a shared public IP.<br></div><div><div><div><br></div><div class="gmail_quote"><div dir="ltr">On Tue, Jan 19, 2016 at 10:09 AM Akshay Kumar Sanghai <<a href="mailto:akshaykumarsanghai@gmail.com" target="_blank">akshaykumarsanghai@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Aaron,Mike,Kevin,Joseph,<div>Thanks for your inputs. </div><div>But I am still confused as Aaron and Mike are suggesting that it is possible and Joseph and Kevin are suggesting its not possible. </div><div>I tried to ping from the vm in openstack to outside of the cloud with only fixed ip assigned, but ping failed. When i assigned the floating ip to that vm, I can ping a system outside of the cloud. So, I am in doubt whether it is possible or not or there is some configuration issue in my setup.</div><div>Guys, Please help as i can't find a proper documentation regarding this.</div><div><br></div><div>Thanks,</div><div>Akshay</div></div><div class="gmail_extra"><br><div class="gmail_quote"></div></div><div class="gmail_extra"><div class="gmail_quote">On Tue, Jan 19, 2016 at 8:47 PM, Mike Spreitzer <span dir="ltr"><<a href="mailto:mspreitz@us.ibm.com" target="_blank">mspreitz@us.ibm.com</a>></span> wrote:<br></div></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span><tt><font size="2">Aaron Segura <<a href="mailto:aaron.segura@gmail.com" target="_blank">aaron.segura@gmail.com</a>> wrote on
01/16/2016 12:19:53 PM:<br><br></font></tt></span></blockquote></div></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span><tt><font size="2">> You shouldn't have to do anything other than disable SNAT and set
a <br>> route for your tenant network upstream.</font></tt></span></blockquote></div></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><tt><font size="2">Indeed, I have exercised exactly this.</font></tt><br><br><tt><font size="2">Regards,</font></tt><br><tt><font size="2">Mike</font></tt><br><br><br></blockquote></div></div></blockquote></div></div></div></div>
</blockquote></div><br></div>
</blockquote></div></div></div></div></div></div></div>