<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Oh, I see. Sorry about that, reading it on my phone didn't render your diagram properly ;)<div class=""><br class=""></div><div class="">The reason this is happening is because the omnios box has knowledge of both subnets in its routing table and it always takes the shortest path to reach an ip destination.</div><div class=""><br class=""></div><div class="">So you will need to put the "clients" in a unique subnet that always passes through the firewall in both directions (in a subnet that's not shared by the omnios machines). Any attempt to add/modify a static route to the omnios box to resolve this will likely fail (it'll just move the problem from one network to the other one and cause your "services" network to route improperly).</div><div class=""><br class=""></div><div class="">Either that, or remove the firewall as a hop, set sshd to listen only on the management IP, and add a management vlan interface to the clients allowed to connect.<br class=""><div class=""><br class=""></div><div class="">Michael</div><div class=""><br class=""></div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Apr 7, 2016, at 10:25 AM, Michael Talbott <<a href="mailto:mtalbott@lji.org" class="">mtalbott@lji.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="content-type" content="text/html; charset=utf-8" class=""><div dir="auto" class=""><div class="">It sounds like you're using the same subnet for management and service traffic, that would be the problem causing the split route. Give each vlan a unique subnet and traffic should flow correctly.<br class=""><br class="">Michael<br class="">Sent from my iPhone</div><div class=""><br class="">On Apr 7, 2016, at 8:52 AM, Schweiss, Chip <<a href="mailto:chip@innovates.com" class="">chip@innovates.com</a>> wrote:<br class=""><br class=""></div><blockquote type="cite" class=""><div class=""><div dir="ltr" class="">On several of my OmniOS hosts I have a setup a management interface for SSH access on an independent VLAN.   There are service vlans attached to other nics.<div class=""><br class=""></div><div class="">The problem I am having is that when on privileged machine on one of the vlans also on the service side that has access to the management SSH port the TCP SYN comes in the management VLAN but the SYNACK goes out the service VLAN instead of routing back out its connecting port.   This causes a split route and the firewall blocks the connection because the connection never appears complete.</div><div class=""><br class=""></div><div class="">Traffic is flowing like this:</div><div class=""><font face="monospace, monospace" class="">client                   firewall                 omnnios</font></div><div class=""><font face="monospace, monospace" class="">10.28.0.106 ->   10.28.0.254->10.28.125.254  -> 10.28.125.44</font></div><div class=""><font face="monospace, monospace" class=""><br class=""></font></div><div class=""><font face="monospace, monospace" class="">10.28.0.106  <--------------------------------- 10.28.0.44         </font></div><div class=""><br class=""></div><div class="">How can I cause connections to only communicate on the vlan that the connection is initiated from?   </div><div class=""><br class=""></div><div class="">I don't want to use the 10.28.0.44 interface because that is a virtual IP and will not always be on the same host.</div><div class=""><br class=""></div><div class="">-Chip</div><div class=""><br class=""></div><div class=""><br class=""></div></div>
</div></blockquote><blockquote type="cite" class=""><div class=""><span class="">_______________________________________________</span><br class=""><span class="">OmniOS-discuss mailing list</span><br class=""><span class=""><a href="mailto:OmniOS-discuss@lists.omniti.com" class="">OmniOS-discuss@lists.omniti.com</a></span><br class=""><span class=""><a href="http://lists.omniti.com/mailman/listinfo/omnios-discuss" class="">http://lists.omniti.com/mailman/listinfo/omnios-discuss</a></span><br class=""></div></blockquote></div></div></blockquote></div><br class=""></div></div></body></html>