<div class="gmail_quote">Hi folks,<div><br></div><div>(Resending, since I did something wrong with the subject last time...)</div><div><br></div><div>I wonder if there is a way to intentionally allow ip "spoofing" for certain VMs...</div>

<div><br></div><div>The use case is the following. We have two DCs, both have openstack deployed. One tenant lives on both DCs, say <a href="http://10.0.0.0/24" target="_blank">10.0.0.0/24</a> in DC1 and <a href="http://10.0.1.0/24" target="_blank">10.0.1.0/24</a> in DC2.</div>


<div><br></div><div>Now the tenant wants the VMs in two DCs to talk to each other with private IPs... The way I am trying to achieve this is to run OpenSwan in one VM on each side, build an IPSEC tunnel enabling lan2lan. </div>


<div><br></div><div>But, this requires: 1) all VMs add a static route, routing packets to the other site to the local openswan box; 2) the openswan box can send out packets with src IP other than itself. </div><div><br></div>


<div>1) is easy to solve, but I am stuck on 2)...</div><div><br></div><div>I found that there is a filterref in libvirt.xml in every VM:</div><div><div>      <filterref filter="nova-instance-instance-00000007-fa163e254a1b"></div>


<div>        <parameter name="IP" value="10.0.104.3"/></div><div>        <parameter name="DHCPSERVER" value="10.0.104.1"/></div><div>        <parameter name="PROJNET" value="10.0.104.0"/></div>


<div>        <parameter name="PROJMASK" value="255.255.255.0"/></div><div>      </filterref></div></div><div><br></div><div>which I believe is dropping outgoing packets that don't src from 10.0.104.3.</div>


<div><br></div><div>I removed that "IP" parameter, and added "CTRL_IP_LEARNING"="dhcp", but cloud-init no longer works...</div><div><br></div><div>Any ideas?</div><div><br></div><div>Thanks.</div>

<span><font color="#888888">
<div>-Simon</div>
</font></span></div><br>