Scenario

Simple OpenStack devnest install

Two networks, public and private. FIPs assigned from the public network.

Private: 10.0.0.0/26, Public: 172.24.4.0/24

Two VMs with interfaces on the private network, and dnat_and_snat NAT entries for their FIPs and an snat rule for 10.0.0.0/26.

Switching the snat rule from logical_ip 10.0.0.0/26 to 0.0.0.0/0 causes ping replies to fail when pinging from one VM to another's FIP. The ping arrives to the target VM, but the reply does not make its way back. VMs can still ping the  gateway address of 172.24.4.1 and the external_ip entry for the NAT snat entry.

$ sudo ovn-nbctl list Logical_Switch
_uuid               : dd0312dd-cfce-4baa-9a46-5948dfef1fd4
acls                : []
copp                : []
dns_records         : []
external_ids        : {"neutron:availability_zone_hints"="", "neutron:mtu"="1500", "neutron:network_name"=public, "neutron:provnet-network-type"=flat, "neutron:revision_number"="2"}
forwarding_groups   : []
load_balancer       : []
load_balancer_group : []
name                : neutron-a399b821-d25d-435b-9ddb-30fffabc185c
other_config        : {broadcast-arps-to-all-routers="true", fdb_age_threshold="0", mcast_flood_unregistered="false", mcast_snoop="false", vlan-passthru="false"}
ports               : [079d5124-0344-4bf1-afbf-b9ac6dbe30a3, 5b38d72e-2e45-45b9-97c8-7a7de59e4b0e, f86db0c6-4a33-4986-94a0-304ec9310d4f]
qos_rules           : []

_uuid               : 88929853-1b0f-4bd0-829f-e47b9419e880
acls                : []
copp                : []
dns_records         : [cc657ec2-b079-4ef8-8b5a-93ab8d878d11]
external_ids        : {"neutron:availability_zone_hints"="", "neutron:mtu"="1442", "neutron:network_name"=private, "neutron:provnet-network-type"=geneve, "neutron:revision_number"="2"}
forwarding_groups   : []
load_balancer       : []
load_balancer_group : []
name                : neutron-242fb9c0-fd4f-42fa-bfac-dc85547e1020
other_config        : {mcast_flood_unregistered="false", mcast_snoop="false", vlan-passthru="false"}
ports               : [1314c5c7-a506-4009-9b2f-4ce2be40f698, 1a2a30e3-0f58-4390-bb9a-df641981b599, 39bcb6a4-5718-430e-92f9-6e41b4856df5, 40b53329-cb92-4460-a9d8-82bd24587d64]
qos_rules           : []

$ sudo ovn-nbctl list Logical_Router
_uuid               : f3270f5e-2c75-40bc-a3eb-f8f729626798
copp                : []
enabled             : true
external_ids        : {"neutron:availability_zone_hints"="", "neutron:revision_number"="5", "neutron:router_name"=router1}
load_balancer       : []
load_balancer_group : []
name                : neutron-7461ea1d-aad5-4c8b-a168-9e23f064ac58
nat                 : [384a1f1f-dcf9-4494-80c9-b96c9bbdc9a2, 6a9fa53b-d361-421f-9752-f774f4fa0902, 90e6f0a7-d1cc-493c-a773-8fab2686202b]
options             : {always_learn_from_arp_request="false", dynamic_neigh_routers="true", mac_binding_age_threshold="0"}
policies            : []
ports               : [0e82dc10-7b5f-4a55-a65b-b6d6a3aea569, 19296564-b0d8-466c-8867-fc6052d05063]
static_routes       : [2dbf9da1-2256-491b-bc3b-44bea1f2a1cd]

$ sudo ovn-nbctl list NAT
_uuid               : 90e6f0a7-d1cc-493c-a773-8fab2686202b
allowed_ext_ips     : []
exempted_ext_ips    : []
external_ids        : {"neutron:fip_external_mac"="fa:16:3e:5b:f7:9c", "neutron:fip_id"="5be30423-9444-46b9-a350-450a5e1f665a", "neutron:fip_network_id"="a399b821-d25d-435b-9ddb-30fffabc185c", "neutron:fip_port_id"="2b092446-df9b-4425-a6e1-65dc6559348a", "neutron:revision_number"="2", "neutron:router_name"=neutron-7461ea1d-aad5-4c8b-a168-9e23f064ac58}
external_ip         : "172.24.4.214"
external_mac        : []
external_port_range : ""
logical_ip          : "10.0.0.9"
logical_port        : "2b092446-df9b-4425-a6e1-65dc6559348a"
options             : {}
type                : dnat_and_snat

_uuid               : 384a1f1f-dcf9-4494-80c9-b96c9bbdc9a2
allowed_ext_ips     : []
exempted_ext_ips    : []
external_ids        : {"neutron:fip_external_mac"="fa:16:3e:aa:59:55", "neutron:fip_id"="524c817d-0239-485f-b971-f61ddec25bd8", "neutron:fip_network_id"="a399b821-d25d-435b-9ddb-30fffabc185c", "neutron:fip_port_id"="2c72c92a-ca16-4fde-90d1-482c36876300", "neutron:revision_number"="2", "neutron:router_name"=neutron-7461ea1d-aad5-4c8b-a168-9e23f064ac58}
external_ip         : "172.24.4.182"
external_mac        : []
external_port_range : ""
logical_ip          : "10.0.0.47"
logical_port        : "2c72c92a-ca16-4fde-90d1-482c36876300"
options             : {}
type                : dnat_and_snat

_uuid               : 6a9fa53b-d361-421f-9752-f774f4fa0902
allowed_ext_ips     : []
exempted_ext_ips    : []
external_ids        : {}
external_ip         : "172.24.4.12"
external_mac        : []
external_port_range : ""
logical_ip          : "0.0.0.0/0"
logical_port        : []
options             : {}
type                : snat

$ sudo ovn-nbctl list Logical_Router_Static_Route
_uuid               : 2dbf9da1-2256-491b-bc3b-44bea1f2a1cd
bfd                 : []
external_ids        : {"neutron:is_ext_gw"="true", "neutron:subnet_id"="d5a7295b-f822-46cb-8cc5-9ec023f013bb"}
ip_prefix           : "0.0.0.0/0"
nexthop             : "172.24.4.1"
options             : {}
output_port         : []
policy              : []
route_table         : ""