🛡️ Fortigate y la opción «ARP Reply» en IP Pools: ¿Para qué sirve y cuándo activarla?
Publicado enFortinet

🛡️ Fortigate y la opción «ARP Reply» en IP Pools: ¿Para qué sirve y cuándo activarla?

Cuando trabajamos con NAT en Fortigate, una de las opciones menos comprendidas, pero que puede marcar la diferencia en la conectividad, es la misteriosa casilla llamada «ARP Reply» dentro de la configuración de un IP Pool.

Hoy te explico en cristiano qué hace, por qué puede ser vital para que tu tráfico fluya, y te dejo incluso un dibujito ASCII para que lo entiendas a la primera.

🤔 ¿Qué es un IP Pool?

Un IP Pool (o “grupo de IPs”) en Fortigate se usa principalmente cuando haces NAT y necesitas que el firewall utilice una o varias IPs específicas para salir a Internet o comunicarse con otras redes.

Por ejemplo, si tienes varias IPs públicas y quieres que ciertos servidores internos salgan con direcciones concretas, creas un pool con esas IPs y se lo aplicas a las reglas NAT.

🧠 ¿Qué hace exactamente la opción «ARP Reply»?

Cuando marcas la opción «ARP Reply», estás diciendo al Fortigate:

✋ “Oye, cuando alguien pregunte por alguna IP de este pool usando ARP, contesta tú mismo como si fueras el dueño de esa IP.”

Esto es útil cuando la IP que estás usando no está asignada directamente a una interfaz del Fortigate, pero aun así quieres que alguien pueda llegar a ella, como un router aguas arriba que necesita resolver la MAC de esa IP.

📉 ¿Y si no lo activo?

Imagina que tienes una IP pública en el IP Pool (200.1.1.10) y un router aguas arriba necesita enviarle tráfico. ¿Qué hará ese router? Primero intentará resolver su dirección MAC con ARP:

“¿Quién tiene la IP 200.1.1.10? Dímelo, por favor.”

Si nadie responde (porque esa IP no está en ninguna interfaz y no has activado ARP Reply), el router descarta el tráfico. Así de simple.

🔧 ¿Cuándo debería activarlo?

  • Si estás haciendo 1:1 NAT y las IPs del pool no están en ninguna interfaz del Fortigate.
  • Si estás en una topología donde el router del ISP está conectado directamente al Fortigate y necesita saber la MAC de una IP del pool.
  • En configuraciones de Virtual IP (VIP) cuando usas IPs que no están físicamente configuradas.

🎨 Dibujito para entenderlo mejor

[Internet]
    |
    | ARP: ¿Quién tiene 200.1.1.10?
    v
[Router ISP] -----> [Fortigate]
                         |
                 IP Pool: 200.1.1.10
                 ARP Reply: ❌ (sin respuesta) ❌
                         |
                      Resultado: FALLO 🚫

Ahora con ARP Reply activado:

[Internet]
    |
    | ARP: ¿Quién tiene 200.1.1.10?
    v
[Router ISP] -----> [Fortigate]
                         |
                 IP Pool: 200.1.1.10
                 ARP Reply: ✅ (Fortigate responde)
                         |
                      Resultado: OK ✅

✅ Conclusión rápida

Marca “ARP Reply” en tu IP Pool si necesitas que Fortigate responda como dueño de esas IPs que no están en ninguna interfaz. Es un pequeño ajuste, pero puede resolver grandes dolores de cabeza de conectividad.

Etiquetas: