<div dir="ltr">Hi every one, <div><br></div><div><b>Context:</b></div><div>We are trying to setup a VPN site -to-site connection, but every time it show us down in the status. We have then decided to backtrack and find the problem. </div><div><br></div><div><ol><li>We cannot <span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">ssh</span><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)"> </span><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">cirros</span><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">@</span><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)"><</span><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">floating</span><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">-</span><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">ip</span><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">>, however by using sudo ip netdns command, we can ssh to the private ip of the instance. Any clue why?</span></li><li><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">From within host which is running all-in-one Openstack setup, we can ping any public address such as <a href="http://google.com">google.com</a>, but from within CirrOS, we cannot do so. Any clue for this?</span></li><li><span style="color:rgb(0,0,0);line-height:1.1em;white-space:pre-wrap;background-color:rgb(246,246,246)">Please note that Neutron firewall is disabled and proper security group rules are in place such as the following:

<pre style="white-space:pre-wrap;margin-top:0.5em;margin-bottom:0.5em;padding:0px;line-height:1.1em"><span style="line-height:13px;color:rgb(204,51,51)"># create security profile for jump host</span>
<span class="" style="color:rgb(34,34,34);background:rgb(255,255,204)">neutron</span>  security-group-create jumphost 

<span style="line-height:13px;color:rgb(204,51,51)"># Add rule to allow icmp in</span>
<span class="" style="color:rgb(34,34,34);background:rgb(255,255,204)">neutron</span>  security-group-rule-create  --protocol icmp jumphost

<span style="line-height:13px;color:rgb(204,51,51)"># Add rule to allow ssh in</span>
<span class="" style="color:rgb(34,34,34);background:rgb(255,255,204)">neutron</span>  security-group-rule-create  --protocol tcp --port-range-min <span style="line-height:13px">22</span> --port-range-max <span style="line-height:13px">22</span>  jumphost</pre>
</span></li><li><pre style="white-space:pre-wrap;margin-top:0.5em;margin-bottom:0.5em;padding:0px;line-height:1.1em">traceroute commands from within Cirros to our public interface works well, but to <a href="http://google.com">google.com</a> is not working. </pre></li></ol><div><font face="monospace"><span style="line-height:13.1999998092651px;white-space:pre-wrap"><br></span></font></div></div><div><font face="monospace"><span style="line-height:13.1999998092651px;white-space:pre-wrap">I am wondering, host system firewall is disabled via "sudo ufw disable", neutron firewall is also disabled </span></font><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre">firewall_driver=nova.virt.firewall.NoopFirewallDriver </span>what else<span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre">?</span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre"><br></span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre">Another point, whenever we reboot neutron node, it destroys all the settings, nothing is there - you can say VM is no more usable - that is corrupted any pointers to this problem? Also adding a default gw by using the "</span><span style="color:rgb(38,38,38);font-family:arial,sans-serif;font-size:13px;line-height:16px">sudo route add default gw <public address> eth0" will corrupt the VM :)</span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre"><br></span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre">Last but not the least, every example in the context of the VPNaaS takes a local network as an example, if we are having devstack nodes on two different nodes with two different public ip addresses, do we need to have a GRE tunnel in between them before going to site-to-site connection? I know it was mandatory for Racoon based ipsec tunnels.</span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre"><br></span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre">Please guide. </span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre"><br></span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre"><br></span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre"><br></span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre"><br></span></div><div><span style="color:rgb(0,0,0);font-family:Consolas,'Bitstream Vera Sans Mono','Courier New',Courier,monospace;font-size:12px;line-height:15.6000003814697px;white-space:pre"><br></span></div></div>