<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 15 December 2014 at 01:18, John Meinel <span dir="ltr"><<a href="mailto:john@arbash-meinel.com" target="_blank">john@arbash-meinel.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">That sounds like you're just excluding the entire 10.0.* range from going via the Gateway, which is fine, but then why isn't the subnet mask 10.0/16 in the first place ? Or maybe it even needs to be <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a> ?</div></blockquote><div><br></div><div>The internal IPs and netmasks being used by instances are assigned by Joyent. Juju isn't deciding on the netmasks - Joyent is assigns various 10.x.x.x/21 networks. When 2 machines end up on different internal networks then traffic destined for the other networks goes out the public interface and gets dropped at the next hop (probably by anti-spoofing configuration on a router/firewall).</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>Probably the big concern for something like <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a> would be if/when we do overlay networks and then there are separate 10.? networks that shouldn't be routed the same.</div></div></blockquote><div><br></div><div>Agreed that this is a concern but at least if a single 10/8 route is added, any more specific routes for 10.x.x.x that also get added for overlay networks will take precedence (Linux uses the most specific route). Not ideal though.</div><div><br></div><div>Joyent support has gotten back to me and have repeated what I already found in that forum post: that a static route should be added. They also mention: "this is a known bug in previous platform images(the underlying cloudOS). The operations team is working to update the impacted images, but the solution is to add route statements to allow access to the respective VLANS."  I presume the "bug" as far as they're concerned is that the routes aren't added automatically.</div><div><br></div><div>After discussing with Tim, I'm going to make a change to have cloud-init create the static route for Joyent deployments, with a ticket to track the fact that this hack is in place.</div><div><br></div><div>- Menno</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><br></blockquote></div></div></div>