2 links - desviar site para link de Intranet

[julpinheiro]

Bom dia galera, gostaria de pedir um auxilio aos mais experientes. Possuo uma rede com Mk 5.26 e dois links, um dedicado para interligação de dados da empresa com 2Mega e instalamos outro de 20Mega, de um provedor local, para desgargalar o link de reservado.
A topologia é simples:

REDE INTERNA
|
MIKROTIK
|
---> LINK 1 - INTRANET 2MEGA
|
---> LINK 2 - PROVEDOR LOCAL 20MEGA (PARA INTERNET)

Atualmente funciona tudo OK apenas no link dedicado porém com muita lentidão devido ao grande fluxo de dados. O motivo da intranet é para trafego de alguns sites de uso interno da empresa que não estão com acesso livre pela rede da internet. Se estes sites não forem acessados pela intranet não haverá acesso as informações.
Para resolver o problema de internet foi solicitado este ponto de internet do provedor local.
Estou tentando passar todo o trafego pelo link2 (provedor) e marcar os sites que quero e desvia-los por uma rota para o link1 (intranet). Marco os pacotes e a regra até conta os dados marcados, porém não desvia os dados para o link1. Segue as regras que estou usando no mangle e rotas:

/ip firewall mangle
add action=mark-routing chain=prerouting comment="PORTAL DA EMPRESA" \
disabled=yes dst-address=10.200.96.20 new-routing-mark=link-intranet \
passthrough=yes protocol=tcp

/ip route
add comment="ROTA DOS PACOTES PORTAL DA EMPRESA INTRANET" disabled=yes \
distance=1 dst-address=10.200.96.20/32 gateway=10.0.11.1 routing-mark=\
link-intranet scope=30 target-scope=10


Haveria outra forma também?

Agradeço a ajuda de todos.

[Fael]

A regra esta desabilitada ? provável que não pois você disse que conta...
Porque o site precisa passar pelo dedicado ? as rede não são interligadas "fisicamente" ?
Porque mesmo sem internet alguma o site iria funcionar normalmente, desde que houvesse uma rede, seja ela cabeada ou Wireless.
Na realidade eu não entendi plenamente como é a estrutura aew....
Lembrando que esse Link de 20Mb deve ter upload de 1.5 a 2.5Mb, então se esse web for acessado de fora da rede, mata ele.

[julpinheiro]

A regra esta desabilitada ? provável que não pois você disse que conta...
Porque o site precisa passar pelo dedicado ? as rede não são interligadas "fisicamente" ?
Porque mesmo sem internet alguma o site iria funcionar normalmente, desde que houvesse uma rede, seja ela cabeada ou Wireless.
Na realidade eu não entendi plenamente como é a estrutura aew....
Lembrando que esse Link de 20Mb deve ter upload de 1.5 a 2.5Mb, então se esse web for acessado de fora da rede, mata ele.

obrigado pela resposta, minha estrutura física é uma rede LAN (ether2) com um MK ligado a duas redes WAN distintas (ether1 - intranet e ether3 - provedor) com cabos separados e portas individuais. O MK já esta funcionando com a intranet tudo ok, agora quando faço os testes e desvio todo o trafego para o novo link (porta ether3 da RB) e tento marcar os sites que quero no outro link ele apenas conta os pacotes mas não os abre, se não abrir é porque não esta redirecionando.
Criei as seguinte regras:

/ip firewall nat
add action=masquerade chain=srcnat comment="REGRAS NAT REDE DA INTRANET" disabled=yes \
out-interface=link-intranet src-address=192.168.11.0/24
add action=masquerade chain=srcnat comment="REGRAS NAT REDE DA INTERNET" \
disabled=no out-interface=DISCADOR_GIGALINK




/ip route
add comment="ROTA PORTAL" disabled=no distance=1 dst-address=10.200.96.20/32 gateway=\
10.0.11.2 routing-mark=intranet scope=30 target-scope=10
add comment="ROTA SISPES" disabled=no distance=1 dst-address=172.16.0.34/32 gateway=\
10.0.11.2 routing-mark=intranet scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.0.11.0/24 gateway=192.168.11.1 scope=30 \
target-scope=10


/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no dst-address=10.200.96.20 \
new-routing-mark=intranet passthrough=no
add action=mark-routing chain=prerouting disabled=no dst-address=172.16.0.34 \
new-routing-mark=intranet passthrough=no

[Fael]

Porque não faz um Balance por rotas ?
Bem Simples mesmo.
http://mikrotikfacilnet.blogspot.com...-gateways.html
Segue esse tutorial, bem fácil, Na Marcação padrão vai ser por ip, x ip sai por um link, y ip sai por outro, se precisar marca a porta ou o site e só usar content ou address list.

[alexrock]

Dá pra resolver com rotas estáticas. Já fiz isso com um link Intragov.

[julpinheiro]

Porque não faz um Balance por rotas ?
Bem Simples mesmo.
http://mikrotikfacilnet.blogspot.com...-gateways.html
Segue esse tutorial, bem fácil, Na Marcação padrão vai ser por ip, x ip sai por um link, y ip sai por outro, se precisar marca a porta ou o site e só usar content ou address list.

Não posso fazer desta forma pois todos precisam usar o serviço de intranet. Vou postar as regras que estão funcionando, porem com muita lentidão e alguns sites não estão abrindo.

Agradeço muito aos amigos do fórum.

[julpinheiro]

Seguem as regras atuais que estão funcionando porem com lentidão:

/ip firewall nat
add action=masquerade chain=srcnat comment=\
"REGRAS NAT REDE INTERNET" disabled=no out-interface=\
link-gigalink
add action=masquerade chain=srcnat comment="REGRAS NAT REDE DA INTRANET" \
disabled=no out-interface=link-intranet


/ip route
add comment="ROTA PORTAL" disabled=no distance=1 dst-address=10.200.96.20/32 \
gateway=10.0.11.2 routing-mark=intranet scope=30 target-scope=10
add comment="ROTA SISPES" disabled=no distance=1 dst-address=172.16.0.0/24 \
gateway=link-intranet routing-mark=intranet scope=30 target-scope=10
add comment="ROTA UPO" disabled=no distance=1 dst-address=187.76.237.0/24 \
gateway=10.0.11.2 routing-mark=intranet scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=30 \
target-scope=10
add disabled=yes distance=1 dst-address=10.0.11.0/24 gateway=192.168.11.1 \
scope=30 target-scope=10


/ip firewall mangle
add action=mark-routing chain=prerouting comment=PORTAL \
disabled=no dst-address=10.200.96.20 new-routing-mark=intranet passthrough=\
no
add action=mark-routing chain=prerouting comment=UPO disabled=no \
dst-address=187.76.237.0/24 new-routing-mark=intranet passthrough=no
add action=mark-routing chain=prerouting comment=\
"SITES INTRANET" disabled=no dst-address=\
172.16.0.0/24 new-routing-mark=intranet passthrough=no

[Fael]

Então Amigo, Ponha o Mk pra trabalhar com /23 Na saída da rede.
Separe as rede usando /24 para acesso aos links e como os dois terão o mesmo gateway, porém acesso a links diferente (Dedicado e não dedicado) a rede vai funcionar, todo mundo fala com todo mundo na intranet...
Pode fazer a regra do site que te mandei que vai da certo. Adapte apenas a parte que te disse.

[julpinheiro]

Então Amigo, Ponha o Mk pra trabalhar com /23 Na saída da rede.
Separe as rede usando /24 para acesso aos links e como os dois terão o mesmo gateway, porém acesso a links diferente (Dedicado e não dedicado) a rede vai funcionar, todo mundo fala com todo mundo na intranet...
Pode fazer a regra do site que te mandei que vai da certo. Adapte apenas a parte que te disse.

Obrigado pela dica, o meio de rotas estáticas me ajudou muito mesmo, aproveitei seu material e estudei mais ainda em outros posts para adaptar a minha situação atual. Graças a sua dica de rotas estáticas abriu meu horizonte. Segue abaixo as regras para outros que tiverem o mesmo problema.

- CONFIGURAÇÃO DO LINK DE INTERNET


/interface pppoe-client
add ac-name="" add-default-route=no allow=pap,chap,mschap1,mschap2 comment=\
"DISCADOR PLANO INTERNET" dial-on-demand=no disabled=no \
interface=link-internet max-mru=1492 max-mtu=1492 mrru=disabled name=\
DISCADOR_INTERNET password=XXXXX profile=default service-name="" \
use-peer-dns=yes user=XXXXX

- O LINK DE INTRANET ESTA COM IP FIXO

- ROTAS DE CADA GATEWAY E DA REDE
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=link-intranet \
routing-mark=intranet scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=DISCADOR_INTERNET \
scope=30 target-scope=10
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=10.0.11.1 scope=30 \
target-scope=10


- NAT PARA AS DUAS REDES SENDO QUE A TODA A REDE ESTA DESTINADA A UMA INTERFACE PELA FAIXA DE SRC ADDDRESS


/ip firewall nat
add action=masquerade chain=srcnat comment=\
"REGRAS NAT REDE INTERNET" disabled=no out-interface=\
DISCADOR_INTERNET src-address=192.168.11.0/24
add action=masquerade chain=srcnat comment="REGRAS NAT REDE INTRANET" \
disabled=no out-interface=link-intranet


- MARCAÇÃO DE PACOTES DOS SITES QUE DEVERÃO MUDAR DE LINKS


/ip firewall mangle
add action=mark-routing chain=prerouting comment="ROTA SITES INTRANET" \
disabled=no dst-address-list=intranet new-routing-mark=intranet \
passthrough=no
add action=mark-connection chain=input disabled=no in-interface=link-intranet \
new-connection-mark=intranet passthrough=yes
add action=mark-routing chain=output connection-mark=intranet disabled=no \
new-routing-mark=to_intranet out-interface=link-intranet passthrough=yes


- SITES ADDRESS-LIST, ADICIONE OS SITES AQUI PARA DIRECIONAR PARA O OUTRO LINK. PODE SER RANGE CASO HAJAM MAIS DE UM COM A MESMA CLASSE.
OBS.: AO DIGITAR A URL O WINBOX CONVERTE PARA IP


add address=172.16.0.0/24 comment="SITES INTRANET" disabled=no list=intranet
add address=10.200.96.0/24 comment=PORTAL disabled=no list=\
intranet
add address=187.76.237.0/24 comment=UPO disabled=no list=intranet

[julpinheiro]

Agradeço a ajuda de todos a dúvida já foi sanada e postada a solução como forma de contribuição de agradecimento.