<div dir="ltr">A fellow name George clued me into my problem.  I had my secgroup rules set for source <a href="http://0.0.0.0/24">0.0.0.0/24</a> which is stupid.  This is how it should look:<div><br></div><div><div>root@kcon-cs-gen-01i:~# nova secgroup-list-rules default</div>
<div>+-------------+-----------+---------+-----------+--------------+</div><div>| IP Protocol | From Port | To Port | IP Range  | Source Group |</div><div>+-------------+-----------+---------+-----------+--------------+</div>
<div>| icmp        | -1        | -1      | <a href="http://0.0.0.0/0">0.0.0.0/0</a> |              |</div><div>| tcp         | 22        | 22      | <a href="http://0.0.0.0/0">0.0.0.0/0</a> |              |</div><div>+-------------+-----------+---------+-----------+--------------+</div>
</div><div><br></div><div>Thanks again, George.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, May 2, 2013 at 6:27 PM, Greg Chavez <span dir="ltr"><<a href="mailto:greg.chavez@gmail.com" target="_blank">greg.chavez@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div><div>I have Grizzly up and running on Ubuntu 13.04, following the excellent instructions by Msekni Bilel. I'm using gre tunneling and per-tenant routers. It looks something like this:</div>

<div><br></div><div><a href="http://chavezy.files.wordpress.com/2013/03/ostack-log-net_iscsi.png" target="_blank">http://chavezy.files.wordpress.com/2013/03/ostack-log-net_iscsi.png</a><br></div><div><br></div><div>
I was able to get a cirros m1.tiny VM launched easily.  But although I've associated a floating IP and configured secgroup rules, I am unable to get any inbound traffic past the VM bridge.</div><div><br></div><div>
The internal network is <a href="http://192.168.252.0/23" target="_blank">192.168.252.0/23</a>.  The floating IP range is 10.21.166.1-254.  The guest has IP 192.168.252.3 and is associate to 10.21.166.2.</div><div><br></div>
<div>
So if I ping 10.21.166.2 from my external network, I can sniff the icmp packets all the way to the VM linux bridge on the compute node.  I can see packets on qvb* but not tap*.</div><div><br></div>From the VM console I am able to reach the external network.  Packet dumps show that traffic originates from 10.21.166.2.<div>

<br></div><div>Finally, I see no hits on my secgroup rules. </div><div><br></div><div>Any advice?  I have interesting command output here: <a href="http://pastebin.com/Cs514mkN" target="_blank">http://pastebin.com/Cs514mkN</a><br clear="all">

<div><br></div><div>Thanks in advance.</div><span class="HOEnZb"><font color="#888888"><div><br></div>-- <br>\*..+.-<br>--Greg Chavez<br>+//..;};
</font></span></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>\*..+.-<br>--Greg Chavez<br>+//..;};
</div>