<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Nov 9, 2016 at 1:33 PM, Saint Michael <span dir="ltr"><<a href="mailto:venefax@gmail.com" target="_blank">venefax@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-size:small">It was working fine until a week ago.<br>I have two sites, it happened on both, so the issue is not on my router or my switch, since they are different sites and we did not upgrade anything.<br>Ubuntu 16.04.1 LTS (GNU/Linux 4.4.0-45-generic x86_64)<br>LXC installed from apt-get install lxc1<br>iptables off in both hosts and containers. I protect my network at the perimeter.<br><br>All my container networking is defined<br><br>lxc.network.type=macvlan<br></div></div></blockquote><div><br></div><div>ah, macvlan :)</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-size:small">lxc.network.macvlan.mode=<wbr>bridge<br>lxc.network.link=eth1<br><a href="http://lxc.network.name" target="_blank">lxc.network.name</a> = eth0<br>lxc.network.flags=up<br>lxc.network.hwaddr = XX:XX:XX:XX:XX:XX<br>lxc.network.ipv4 = <a href="http://0.0.0.0/24" target="_blank">0.0.0.0/24</a><br><br>Now suppose I have a machine, not a container, in the same broadcast domain as the containers, same subnet.<br>It cannot ping or ssh into a container, which is accessible from outside my network.<br>However, from inside the container the packets come and go perfectly, when the connection is originated by the container.<br>A container can ping that host I mentioned, but the host cannot ping back the container.<br>It all started a few days ago.<br>Also, from the host, this test works<br>arping -I eth0 (container IP address)<br>it shows that we share the same broadcast domain.<br><br>My guess is that the most recent kernel update in the LXC host, is blocking the communication to the containers, but it allows connections from the containers or connections from IP addresses not on the same broadcast domain.<br>Any idea?<br></div></div>
<br></blockquote><div><br></div><div>If you still have the old kernel, Janjaap's suggestion is relevant. Try downgrading your kernel. If downgrading works, file a bug (see <a href="https://wiki.ubuntu.com/Kernel/Bugs">https://wiki.ubuntu.com/Kernel/Bugs</a>)</div><div><br></div><div>Another way to check is using generic methods to test network connectivity:</div><div>- from both the other machine and the container, ping each other, and then "arp -n". Verify that the mac listed there is correct, and not (for example) the hosts's MAC address. arping should also show which MAC address is replying.</div><div>- ping from the other machine, and while its running, do a tcpdump on all relevant interfaces (e.g. on container's eth0, on host's eth1, etc), something like </div><div><br></div><div>tcpdump -n -i eth1 "(icmp or arp) and host container_ip_address"</div><div><br></div><div>and see where the traffic dissappears.</div><div><br></div><div>I had problems with macvlan when combined with proxyarp on the same host. It works fine now with just macvlan on kernel 4.4.0-38-generic.</div><div><br></div><div>-- </div><div>Fajar</div></div></div></div>