<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    Thanks, Kashyap.<br>

    <br>

    I have made some progress in that I was able to connect to my cirros

    image from the public network, but only from the host on which

    openstack is installed and on which the instance is running.<br>

    <br>

    At the end of Lars's video, mentioned below, he assigns a gateway ip

    address to the public (192.168.20.0/24) network to the br-ex device,

    and then adds a rule that I translated into this command:<br>

    <br>

    <meta charset="utf-8">

    <pre style="border: 1px solid rgb(60, 120, 181); padding: 0.4em; color: rgb(0, 0, 0); font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.5px; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(240, 240, 240);">iptables -t nat -I POSTROUTING 1 -s 192.168.20.0/24 -j MASQUERADE

</pre>

    <br>

    but this breaks the connectivity, so I removed that so that I could

    still ssh into the cirros instance from my physical host.<br>

    <br>

    Currently, I'm able to log in from the openstack physical host, but

    not from the rest of my 192.168.0.0 network.<br>

    <br>

    My networking is a little bit rusty, so I'm not sure what the next

    step is to allow me to log into the instances on the 192.168.20.0/24

    network from existing hosts on the 192.168.0.0 network.<br>

    <br>

    BTW, is there a script that will provide a dump of the

    configurations like the one for which you provided a URL below?<br>

    <br>

    Thanks again.<br>

    <br>

    Eric<br>

    <br>

    <div class="moz-cite-prefix">On 5/21/14, 4:24 AM, Kashyap Chamarthy

      wrote:<br>

    </div>

    <blockquote cite="mid:20140521082414.GR6868@tesla.pnq.redhat.com"

      type="cite">

      <pre wrap="">On Tue, May 20, 2014 at 01:17:21PM -0400, Eric Berg wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">I've done a fresh install of RDO using packstack on a single host like this:

  packstack --allinone --provision-all-in-one-ovs-bridge=n

And then followed the instructions here:

<a class="moz-txt-link-freetext" href="http://openstack.redhat.com/Neutron_with_existing_external_network">http://openstack.redhat.com/Neutron_with_existing_external_network</a>

I've also generally followed Lars's approach from this video with the same

lack of connectivity: <a class="moz-txt-link-freetext" href="https://www.youtube.com/watch?v=DGf-ny25OAw">https://www.youtube.com/watch?v=DGf-ny25OAw</a>

My public network is 192.168.20.0/24.

But I'm not able to ping or ssh from my 1902.168.0.0 network, the host

running OpenStack is at 192.168.0.37.

My instance is up and running with a 10.0.0.2 IP and 192.168.20.4 floating

IP.

I can ping 192.168.20.3, but not 192.168.20.4.

I can use the net namespace approach to log into my cirros instance, but

can't get to 192.168.20.0/24 hosts.

</pre>

      </blockquote>

      <pre wrap="">

That at-sounds you've got most of it right. You're not able to SSH via

floating IPs.

Couple of things:

 - You might want to check if your iptables rules are correct. i.e. when

   you run something like this, you should see SNAT/DNAT rules:

    $ ip netns exec qrouter-2c7ba7dc-0101-417a-b76d-1cae17ae654e iptables -t nat -L -nv | grep NAT                        

        0     0 DNAT       all  --  *      *       0.0.0.0/0            192.169.142.12       to:30.0.0.26

        0     0 DNAT       all  --  *      *       0.0.0.0/0            192.169.142.13       to:30.0.0.25

       26  1704 ACCEPT     all  --  !qg-fb9ff0ad-56 !qg-fb9ff0ad-56  0.0.0.0/0            0.0.0.0/0            ! ctstate DNAT

        0     0 DNAT       all  --  *      *       0.0.0.0/0            192.169.142.12       to:30.0.0.26

        5   324 DNAT       all  --  *      *       0.0.0.0/0            192.169.142.13       to:30.0.0.25

        0     0 SNAT       all  --  *      *       30.0.0.26            0.0.0.0/0            to:192.169.142.12

        0     0 SNAT       all  --  *      *       30.0.0.25            0.0.0.0/0            to:192.169.142.13

        0     0 SNAT       all  --  *      *       30.0.0.0/24          0.0.0.0/0            to:192.169.142.10

 - Ensure you have security group rules for SSH are set correctly (you

   can enumerate them by doing '$ neutron security-group-rule-list')

I recently did a 2-node IceHouse install (but this is manual setup),

here[1] are my configurations of Nova/Neutron and iptables rules (scroll

down to bottom).

</pre>

      <blockquote type="cite">

        <pre wrap="">This is my first OpenStack install.   I'm a little confused at how a

stock installation (based on packstack) could somehow not include the

ability to access the VMs from the network on which the OS compute

host is running.

Any help troubleshooting this would be greatly appreciated.

</pre>

      </blockquote>

      <pre wrap="">

  [1] <a class="moz-txt-link-freetext" href="http://kashyapc.fedorapeople.org/virt/openstack/rdo/IceHouse-Nova-Neutron-ML2-GRE-OVS.txt">http://kashyapc.fedorapeople.org/virt/openstack/rdo/IceHouse-Nova-Neutron-ML2-GRE-OVS.txt</a>

</pre>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

Eric Berg

Sr. Software Engineer

Rubenstein Technology Group

55 Broad Street, 14th Floor

New York, NY 10004-2501

(212) 518-6400

(212) 518-6467 fax

<a class="moz-txt-link-abbreviated" href="mailto:eberg@rubensteintech.com">eberg@rubensteintech.com</a>

<a class="moz-txt-link-abbreviated" href="http://www.rubensteintech.com">www.rubensteintech.com</a></pre>

  </body>

</html>