Симптомы

Не работает NAT или DNAT с другим IP адресом, не принадлежащим интерфейсу NGFW.

Решение

Имеется 2 возможных сценария:

1) На вышестоящем оборудовании указан маршрут в сторону данного IP через шлюз NGFW, которым является реальный адрес на интерфейсе. В случае, если бы маршрута не было, соседний роутер отправил бы ARP запрос, на который UG бы не ответил, так как NGFW не отвечает на ARP-запросы для адресов, не принадлежавших его интерфейсам.

2) На вышестоящем оборудовании не указан маршрут в сторону данного IP через шлюз NGFW.
В таком случае данный IP адрес должен быть назначен на интерфейсе явно как secondary IP, или в качестве VIP адреса в кластере, так как NGFW не отвечает на ARP-запросы для адресов, не принадлежавших его интерфейсам.

Причина

В поле SNAT можно указать любой адрес, даже не назначенный на интерфейсе, трансляция будет происходить, но проблема будет в отправке ответных пакетов, так как по умолчанию NGFW не будет отвечать на ARP запрос на этот адрес (если он не назначен на интерфейсе). Можно это обойти, сделав статическую запись ARP на вышестоящем оборудовании, указать что данный IP принадлежит MAC адресу NGFW или включить на самом NGFW опцию proxyARP на нужном интерфейсе, тогда NGFW будет отвечать своим MAC на все ARP запросы, но это может привести к проблемам на сети. Не рекомендуется без чёткого понимания включать данную опцию. Самый простой и надежный вариант это назначить Secondary IP на интерфейсе NGFW.