🎯 O que é Dual WAN?
Dual WAN significa ter duas conexões de internet no mesmo roteador.
Exemplo:
- Link 1 → Provedor A
- Link 2 → Provedor B
Isso é usado para:
- Evitar ficar sem internet
- Melhorar estabilidade
- Garantir continuidade dos serviços
🔄 Tipos de Dual WAN (diferença importante)
🟡 1. Dual WAN tradicional (failover simples)
- Apenas um link é usado por vez
- O segundo fica como backup
- Se o principal cair, o backup assume
👉 Problema:
- Só funciona quando há queda total
- Serviços publicados (ex: acesso externo) podem cair
🟢 2. Dual WAN sempre ativo (Active + Active + Failover)
Aqui está o diferencial técnico implementado:
- Ambos os links funcionam ao mesmo tempo
- O roteador:
- Envia tráfego pelos dois links
- Recebe conexões pelos dois IPs públicos
- Se um link cair:
- O outro continua sem impacto
👉 Resultado:
- Alta disponibilidade real
- Serviços continuam acessíveis
🌍 Por que responder portas nas duas WANs?
Exemplo prático:
Você tem um servidor interno:
- RDP (porta 3389)
- Sistema (porta 8011–8014)
Sem dual WAN ativo:
- Só um IP responde
Com dual WAN ativo:
- Os dois IPs públicos respondem
- Usuário pode acessar por qualquer link
📌 Isso elimina dependência de um único provedor
🧠 Por que precisa de Mangle?
Aqui entra o ponto mais importante (e técnico).
Problema:
Se uma conexão entra pela WAN1, mas sai pela WAN2:
- O retorno quebra
- Sessão cai
- Serviços param de funcionar
Solução:
Usar Mangle + Connection Mark + Routing Mark
👉 O que isso faz:
- Marca a conexão quando entra
- Obriga a resposta a sair pelo mesmo link
📌 Isso é essencial em dual WAN ativo
⚙️ Arquitetura da solução
- WAN1 → ether4
- WAN2 → ether5
- LAN → bridge
🧪 PASSO A PASSO DE CONFIGURAÇÃO
1. Marcar conexões por interface
/ip firewall mangle
add chain=prerouting in-interface=ether4 connection-state=new \
action=mark-connection new-connection-mark=wan1_conn
add chain=prerouting in-interface=ether5 connection-state=new \
action=mark-connection new-connection-mark=wan2_conn2. Marcar rotas com base na conexão
/ip firewall mangle
add chain=prerouting connection-mark=wan1_conn \
action=mark-routing new-routing-mark=to_wan1
add chain=prerouting connection-mark=wan2_conn \
action=mark-routing new-routing-mark=to_wan23. Garantir saída correta para tráfego do roteador
/ip firewall mangle
add chain=output connection-mark=wan1_conn \
action=mark-routing new-routing-mark=to_wan1
add chain=output connection-mark=wan2_conn \
action=mark-routing new-routing-mark=to_wan24. Criar rotas para cada WAN
/ip route
add dst-address=0.0.0.0/0 gateway=10.0.2.1 routing-mark=to_wan1
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_wan25. Rota padrão (failover)
/ip route
add dst-address=0.0.0.0/0 gateway=10.0.2.1 distance=1 comment=WAN1
add dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=2 comment=WAN26. NAT para ambas as WANs
/ip firewall nat
add chain=srcnat out-interface=ether4 action=masquerade
add chain=srcnat out-interface=ether5 action=masquerade7. Publicação de portas nas duas WANs
Exemplo (RDP):
/ip firewall nat
add chain=dstnat in-interface=ether4 protocol=tcp dst-port=3389 \
action=dst-nat to-addresses=192.168.0.10
add chain=dstnat in-interface=ether5 protocol=tcp dst-port=3389 \
action=dst-nat to-addresses=192.168.0.10👉 Agora:
- Ambos os IPs públicos respondem
8. Failover com Netwatch
/tool netwatch
add host=8.8.8.8 interval=10s timeout=2s \
down-script="/ip route set [find comment=WAN1] distance=10; \
/ip route set [find comment=WAN2] distance=1" \
up-script="/ip route set [find comment=WAN1] distance=1; \
/ip route set [find comment=WAN2] distance=2"Com tudo isso implementado:
✅ Dois links ativos simultaneamente
✅ Resposta por dois IPs públicos
✅ Sessões estáveis (sem quebra de retorno)
✅ Failover automático
✅ Alta disponibilidade real
🚀 Conclusão (em linguagem simples)
- Dual WAN simples = backup
- Dual WAN sempre ativo = inteligência
👉 O segredo não é ter dois links
👉 É saber controlar o caminho do tráfego
E isso é feito com:
- Mangle
- Marcação de conexão
- Rotas inteligentes