После публикации по ARP дополнительного real IP на интерфейсе WAN1, настройки маршрута и проброски портов в port-based VLAN в логах invalid_arp_sender_ip_address - как вижу sender IP - адрес шлюза по умолчанию для опубликованного по ARP IP.

Общие правила проброса портов заработали только после установки параметра Network\ARP/Neighbor Discovery\Advanced Settings
ARP Sender IP со значения Validate в значение AcceptAny

Насколько я понимаю, этот костыль потенциально не безопасен, подскажите как сделать это правильно, с помощью маршрутов/правил?