Fortigate … arp-reply

Cuando crear un objeto de tipo Virtual IP-IP pools para hacer nat de salida tiene la opción de ponerle que haga «arp reply». ¿Para qué?. Pues por ejemplo, por si tienes conectado un router que te da salida a Internet a dos firewalls diferentes y quieres usar la misma ip (no a la vez, se sobreentiende) en los dos equipos.


Vale, es una configuración un tanto extraña, pero a veces es necesario mantener la ip de origen porque ciertos «proveedores» siguen anclados al siglo pasado y solo permiten conexiones desde 1 ip.

El caso es que, cuando creas el objeto, este se pone a hacer arp reply, aunque no lo tengas puesto en ninguna regla (o la tengas desactivada como en nuestro caso). Así que… ojo que la puedes liar…como la liamos nosotros.

La única solución (salvo usar ips distintas) es desactivar el check del arp-reply o convencer al operador para
añadir rutas hacia el firewall que vas a usar como activo.

La típica chorrada que te hace perder una mañana…