2 internet connections and I"m going CRAZY

Basically, your problem is that the internet connection you set as your default route, will handle ALL outbound traffic.  Everyone is accessing your website by using an address that is accesible over your DSL line, x.x.x.x.  The request is received by your webserver, and sent back to the Firewall.  The default route on your Firewall is over your cable modem, so the traffic is being returned through your cable modem.  That means the source address of the packet (your webserver) is being modified because of masquerading. 

Meaning, I point my web browser at http://x.x.x.x but the packets that are coming back to me are coming from y.y.y.y.  My computer won't know who y.y.y.y is and will not accept that packets.

It works when the default gateway is your DSL line, because that masquerading isn't changing the source IP address of your server.  (Or if you are using masquerading on your DSL line, it is being NAT'd back to the appropriate address - x.x.x.x).

BGP can solve this kind of problem, but you cannot do BGP over a cable modem or DSL connection.  You will also need at least a full class C network (255 addresses) for an internet provider to accept BGP routing updates.

To force your web server to only use the DSL line, you would need some sort of Policy Routing, which the Astaro firewall does not currently support (unless that feature is availalbe in the OS, so you could hack it into place).  Policy routing would allow you to select a route based on, among other things, the source IP of the packet.  That would allow you to say "If the packet is from my webserver, send the packets to the DSL line".

If you think about the way you are set up right now (based on what is in your post), you only have 1 web server that needs to be accessed over the Internet.  All of the rest of your traffic is Internet access for your internal hosts.  If you default gateway is your cable modem, then the only traffic that will ever come across your DSL line is the traffic that is coming inbound to your DSL line.

So basically, all of your users will use the Cable Modem, and you web server is the only thing using a DSL line (and with the cable modem as the default gateway, that doesn't even work).  If you do not want to spend any more money, the best thing to do is to separate the webserver from the LAN.  Use the firewall to protect the web server on your DSL line, and just use a Linksys Cable/DSL Router for your users.  Nobody can connect directly to your user's computers because they are being masqueraded by the cable router.  That gives your webserver dedicated bandwidth of the DSL line, and your users can use the cable modem connection.  

Unfortunately, I don't think you can do it all with the Astaro box  [:(]ade sense.  

Basically, your problem is that the internet connection you set as your default route, will handle ALL outbound traffic.  Everyone is accessing your website by using an address that is accesible over your DSL line, x.x.x.x.  The request is received by your webserver, and sent back to the Firewall.  The default route on your Firewall is over your cable modem, so the traffic is being returned through your cable modem.  That means the source address of the packet (your webserver) is being modified because of masquerading. 

Meaning, I point my web browser at http://x.x.x.x but the packets that are coming back to me are coming from y.y.y.y.  My computer won't know who y.y.y.y is and will not accept that packets.

It works when the default gateway is your DSL line, because that masquerading isn't changing the source IP address of your server.  (Or if you are using masquerading on your DSL line, it is being NAT'd back to the appropriate address - x.x.x.x).

BGP can solve this kind of problem, but you cannot do BGP over a cable modem or DSL connection.  You will also need at least a full class C network (255 addresses) for an internet provider to accept BGP routing updates.

To force your web server to only use the DSL line, you would need some sort of Policy Routing, which the Astaro firewall does not currently support (unless that feature is availalbe in the OS, so you could hack it into place).  Policy routing would allow you to select a route based on, among other things, the source IP of the packet.  That would allow you to say "If the packet is from my webserver, send the packets to the DSL line".

If you think about the way you are set up right now (based on what is in your post), you only have 1 web server that needs to be accessed over the Internet.  All of the rest of your traffic is Internet access for your internal hosts.  If you default gateway is your cable modem, then the only traffic that will ever come across your DSL line is the traffic that is coming inbound to your DSL line.

So basically, all of your users will use the Cable Modem, and you web server is the only thing using a DSL line (and with the cable modem as the default gateway, that doesn't even work).  If you do not want to spend any more money, the best thing to do is to separate the webserver from the LAN.  Use the firewall to protect the web server on your DSL line, and just use a Linksys Cable/DSL Router for your users.  Nobody can connect directly to your user's computers because they are being masqueraded by the cable router.  That gives your webserver dedicated bandwidth of the DSL line, and your users can use the cable modem connection.  

Unfortunately, I don't think you can do it all with the Astaro box  [:(]ade sense.  

Hi alltogether,

policy based routing isn't an official supported feature of Astaro Security Linux. 
But since many sites have multiple links  to the internet (especially incredible cheap
DSL links) we have published a howto 

http://docs.astaro.org/older_versions/ASL-V3.2/docs_v3/hacking/policy_routing.txt

This makes multiple links usable but is not an failover solution.

Read you
o|iver