Uno de los fallos más «estúpidos» que he visto en los últimos meses … pero vamos, que está reportado … así que, ojito.
Os pongo en antecedentes … migrando un checkpoint a fortigate … ese checkpoint estaba en una «Meshed VPN».
Lo sacamos de ahí, y creamos el «interoperable object» con la ip externa del FG, que es la misma que tenía el viejo checkpoint.
Cuando nos pusimos a probar la VPN, se veían los intercambios, la VPN levantaba … pero todo el tráfico se tiraba en la parte del checkpoint central con el error …
«According to the policy, the packet should not have been decrypted».
Que, normalmente tiene que ver con problemas en los «VPN domains» … pero no esta vez, resulta que el antiguo objeto firewall seguía teniendo la ip pública (porque no lo habíamos borrado, más que nada por si había que dar marcha atrás).
A saber por qué … ese objeto firewall tenía la ip pública puesta como «principal» en vez de la de management.
Documentado en el caso SK155012.
Y una frase que me guardo para la posteridad … «And usually it is entirely random whether it works or not», tocate las narices …