<div dir="ltr">Hi all,<div><br></div><div style>Thanks to Belmiro, I found how to fix this properly, rather than a hack.</div><div style><br></div><div style>For future googlers,</div><div style><br></div><div style>cd /etc/libvirt/nwfilter</div>
<div style>cp nova-base.xml nova-base.xml.bak</div><div style>virsh nwfilter-edit nova-base</div><div style>remove or comment out the spoof lines you don't want</div><div style><br></div><div style>New instances won't have the rules.</div>
<div style><br></div><div style>To update old instances:</div><div style><div>virsh destroy instance-xxx</div><div>virsh undefine instance-xxx</div><div style>cd /var/lib/nova/instances/instance-xxx</div><div style><div>virsh define libvirt.xml</div>
<div>virsh start instance-xxx</div><div><br></div><div style>Thanks all.</div><div style><br></div><div style> -- joe.</div><div style><br></div></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On 21 January 2013 11:49, Belmiro Moreira <span dir="ltr"><<a href="mailto:moreira.belmiro.email.lists@gmail.com" target="_blank">moreira.belmiro.email.lists@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Joe,<br>
nova network filtering rules are preventing ip-spoofing.<br>
There is a proposal to modify this behavior when using HA in instances.<br>
See thread:<br>
[openstack-dev] VM level HA. Changes in firewall.py question.<br>
<br>
You can check with:<br>
virsh nwfilter-dumpxml nova-base<br>
<br>
cheers,<br>
Belmiro<br>
<div><div class="h5"><br>
On Jan 21, 2013, at 12:25 PM, Joe Warren-Meeks <<a href="mailto:joe.warren.meeks@gmail.com">joe.warren.meeks@gmail.com</a>> wrote:<br>
<br>
> Hi guys,<br>
><br>
> I've got openstack essex configured with vlanmanager and an external gateway and all my networking runs ok generally.<br>
><br>
> However, I'm trying to setup Linux HA on two instances. They run on separate compute nodes and can see each other just fine. hb_takeover and hb_standby works perfectly. The problem is that nothing outside of the instance with the HA IP address can connect to it.<br>

><br>
> It seems that something is ignoring the arp is-at from the instance. Doing a tcpdump on the compute node's bridged network and the instance's eth0 I can arp requests and responses fine for its main IP, but when I try to get to the alias address, I see arp requests only on the compute side. On the instance side I see it responding, but this doesn't show up on the bridged interface on the compute node.<br>

><br>
> Has anyone seen this before? My google-fu is failing to find anything.<br>
><br>
> Kind regards<br>
><br>
>  -- joe.<br>
><br>
><br>
</div></div>> _______________________________________________<br>
> Mailing list: <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>
> Post to     : <a href="mailto:openstack@lists.launchpad.net">openstack@lists.launchpad.net</a><br>
> Unsubscribe : <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>
> More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>
<br>
</blockquote></div><br></div>