По мануалу в FAQ настроил аутентификацию пользователей по для сети 192.168.1.10-192.168.1.15 (папка в rules lan_auth_access). Все нормально работает
Создал расписание access_15_18 с 15:00 до 18:00. По аналогии создал новую папку в rules lan_access_15_18 и там создал такие же правила только для сети lan_ip_16_20 192.168.1.16-192.168.1.20. только в правилах (согластно мануалу) установил расписание для следующих правил:

allow_ftp-passthrough NAT ftp-passthrough access_15_18 lan lan_ip_16_20 wan1 all_nets

allow_standard NAT all_tcpudp access_15_18 lan lan_ip_16_20 wan1 all_nets

Думал что пользователи 192.168.1.16-192.168.1.20 будут аутентифицироваться в период с 15 по 18 часов и пользоваться интернетом, а у них даже не появляется веб морда. Подскажите что я сделал не так и возможно ли сделать так чтобы обни пользователи могли входить в одно время а другие в другое?

При помощи расписания, вы можете задать период, когда правило будет активно, например вы можете поставить правило которое будет блокировать весь выход в интернет и будет автоматически включатся после окончания рабочего дня и выключаться при его начале.

Получается что я немогу разделить пользователей например так:
пользователи 192.168.1.10-192.168.1.20 работают в период с 8:00 по 20:00
пользователи 192.168.1.21-192.168.1.30 работают в период с 15:00 по 20:00

одновременно эти две группы правил не работают. Работает только группа правил которая находится выше. Если пользователь из второй группы аутентифицируется он появляется в списке "User Authentication Status" но ему выдается сообщение что его IP адрес не входит в разрешенный диапозон (т.е в диапозон первой группы правил 192.168.1.10-192.168.1.20).
Что это за AAA тогда такое . Самые элементарные вещи нельзя сделать.
Как мне это сделать? Посоветуйте кто нибудь.

Пробовал использовать внешн. Radius базу данных IAS Windows там в политиках удаленного доступа можно это сделать. Но пользователи до этого входят в домен и при аутентификации на DFL-210 им выдается сообщение что пользователь уже аутентифицировался и после DFL его не пускает.
Во FreeRadius по моему такого не сделаеш.

Попробуйте сделать по другому, создать две разные группы пользователей, с одинаковыми диапазонами а когда будете делать IPRules для групп, вот тут уже задайте время действия правил которые будут пользователя выпускать, для одной группы работаю правила в одно время, для другой в другое.

Работает !
Просто я хотел что бы если пользователю с определенного IP в это время неположено входить в интернет, чтоб он не мог даже попытаться войти с этого компьютера под другим логином и паролем (который он мог подсмотреть у другого пользователя). Умников же везде хватает.
Хорошо бы если балабы возможность назначать статические адреса пользователям в локальной базе данных.
Но все равно спасибо

Можно назначать статический IP пользователю посмотрите внимательно свойство учетной записи пользователя там вы увидете static IP, но если вы назначаете один, а на компьютере другой, то ничего работать не будет

Да в свойствах пользователя есть назначение статического адреса но только в разделе "Per-user PPTP/L2TP IP Configuration". Как я понимяю это для тех клиентов которые по тунелю соединяются извне.
Но все равно я поставил там локальные адреса. Попробовал с двух машин зайти под одним и темже логином оба нормально логинятся и сидят в списке "User Authentication Status" под разными IP! Поставил
в "User Authentication Rules" "Multiple Username Logins" "Allow one login per username, disallow the rest". Но теперь наверное будут гонки кто вперед успеет залогинится хороший или плохой пользователь.
Попробовал "How to configure L2TP and PPTP servers for remote users when firewall is using PPPOE" , чтоб локальные клиенты подсоеднялись по только PPPOE поменял местами source и dest, но что то наверное напутал и у меня все перестало работать. По этому вернул все назад.

Так работать не будет, в DFL нет pppoe сервера.