<div dir="ltr">Hi, this approach worked fine, except in the case when VM has a floating IP, perhaps because of some SNAT rules in the Neutron Node router preventing TCP traffic (connection reset by peer) using internal IP address, although ICMP works. Using floating IP works ok, but for the use case we are deploying, we need to always access VMs via internal IP, regardless of the VM having a float or not.<div><br></div><div>I remember this problem was corrected in DVR for the case of VMs with floating IPs assigned communicating via internal IPs (it works ok now).</div><div><br></div><div><br></div><div><div><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 30, 2016 at 2:32 PM, Mike Spreitzer <span dir="ltr"><<a href="mailto:mspreitz@us.ibm.com" target="_blank">mspreitz@us.ibm.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><font size="2" face="sans-serif">No, those routers are routers.  If
one of them gets a packet, the router will forward the packet as usual
for a router.</font><br><br><font size="2" face="sans-serif">You might think they don't handle connections
into tenant networks, but that might be because nothing is trying to use
them as routers for the tenant networks.  That's a question about
the routing tables in the rest of your environment.</font><br><br><font size="2" face="sans-serif">If the client has a route to a Neutron
tenant network that goes through a Neutron router, the client is able to
connect to a server on the Neutron tenant network.</font><br><br><font size="2" face="sans-serif">The normal configuration for routers
on the internet is to not forward traffic to the RFC 1918 addresses.  I
do not recall how the Neutron routers handle packets addressed to those
addresses from sources on the "outside".</font><br><br><font size="2" face="sans-serif">Regards,<br>Mike</font><br><br><br><br><font size="1" color="#5f5f5f" face="sans-serif">From:      
 </font><font size="1" face="sans-serif">Gustavo Randich <<a href="mailto:gustavo.randich@gmail.com" target="_blank">gustavo.randich@gmail.com</a>></font><br><font size="1" color="#5f5f5f" face="sans-serif">To:      
 </font><font size="1" face="sans-serif">Mike Spreitzer/Watson/IBM@IBMUS</font><br><font size="1" color="#5f5f5f" face="sans-serif">Cc:      
 </font><font size="1" face="sans-serif">"<a href="mailto:openstack@lists.openstack.org" target="_blank">openstack@lists.openstack.org</a>"
<<a href="mailto:openstack@lists.openstack.org" target="_blank">openstack@lists.openstack.org</a>>, "<a href="mailto:openstack-operators@lists.openstack.org" target="_blank">openstack-operators@lists.openstack.org</a>"
<<a href="mailto:openstack-operators@lists.openstack.org" target="_blank">openstack-operators@lists.openstack.org</a>></font><br><font size="1" color="#5f5f5f" face="sans-serif">Date:      
 </font><font size="1" face="sans-serif">06/30/2016 11:25 AM</font><br><font size="1" color="#5f5f5f" face="sans-serif">Subject:    
   </font><font size="1" face="sans-serif">Re: [Openstack-operators]
Reaching VXLAN tenant networks from outside (without floating IPs)</font><br><hr noshade><div class=""><div class="h5"><br><br><br><font size="3">Mike, as far as I know those routers allow only outgoing
traffic, i.e. VM can see external networks, but those external networks
cannot connect to VM if it doesn't have a FIP, am I right?</font><br><br><font size="3">Thanks!</font><br><font size="3">Gustavo</font><br><br><font size="3">On Wed, Jun 29, 2016 at 7:24 PM, Mike Spreitzer <</font><a href="mailto:mspreitz@us.ibm.com" target="_blank"><font size="3" color="blue"><u>mspreitz@us.ibm.com</u></font></a><font size="3">>
wrote:</font><br><tt><font size="2">Gustavo Randich <</font></tt><a href="mailto:gustavo.randich@gmail.com" target="_blank"><tt><font size="2" color="blue"><u>gustavo.randich@gmail.com</u></font></tt></a><tt><font size="2">>
wrote on 06/29/2016 03:17:54 PM:<br><br>> Hi operators...<br>> <br>> Transitioning from nova-network to Neutron (Mitaka), one of the key
<br>> issues we are facing is how to reach VMs in VXLAN tenant networks
<br>> without using precious floating IPs.<br>> <br>> Things that are outside Neutron in our case are:<br>> <br>> - in-house made application orchestrator: needs SSH access to <br>> instances to perform various tasks (start / shutdown apps, configure<br>> filesystems, etc.)<br>> <br>> - various centralized and external monitoring/metrics pollers: need
<br>> SNMP / SSH access to gather status and trends<br>> <br>> - internal customers: need SSH access to instance from non-openstack<br>> VPN service<br>> <br>> - ideally, non-VXLAN aware traffic balancer appliances<br>> <br>> We have considered these approaches:<br>> <br>> - putting some of the external components inside a Network Node: <br>> inviable because components need access to multiple Neutron deployments<br>> <br>> - Neutron's VPNaaS: cannot figure how to configure a client-to-site
<br>> VPN topology<br>> <br>> - integrate hardware switches capable of VXLAN VTEP: for us in this
<br>> stage, it is complex and expensive<br>> <br>> - other?</font></tt><font size="3"><br></font><tt><font size="2"><br>You know Neutron includes routers that can route between tenant networks
and external networks, right?  You could use those, if your tenant
networks use disjoint IP subnets.</font></tt><font size="3"><br></font><tt><font size="2"><br>Regards,<br>Mike</font></tt><font size="3"><br><br></font><br><br><br><br></div></div></blockquote></div><br></div></div></div></div></div>