VLAN и умные домашние устройства блокировать от интернета только при подключении через BTH VPN.

Итак, как я понимаю, для меня было бы проще построить настройку с 4 VLAN в этом случае:

VLAN1 → Управление  
VLAN10 → Локальная сеть  
VLAN21 → СмартХоум сервер  
VLAN22 → СмартХоум Wi-Fi (отдельно можно не выделять, но можно)

WAN нужно настроить на @ether1, дальше настроить VLAN в соответствии с этим описанием: https://administrator.de/tutorial/mikrotik-vlan-konfiguration-ab-routeros-version-6-41-367186.html

Лучший способ — использовать CAPSman с Wifivave2 для развертывания, если в будущем могут использоваться другие CAP. Для Wi-Fi или лучше WLAN сделать мастер-конфигурацию для 2,4 МГц и 5 ГГц, затем развернуть нужные Wi-Fi через MGMT Wireless (он скрытый) столько, сколько сможет поддержать мост.

Для каждого Wi-Fi на частоте нужно сделать отдельную конфигурацию:  
- Для каждого диапазона (2,4 ГГц AX / 2,4 ГГц N / 5 ГГц AX) — своя конфигурация  
- Для каждого VLAN, который надо провести на беспроводную сеть, должно быть отдельно настроено и связано правило безопасности  
- Для каждого VLAN нужно настроить Datapath и связать его  
- Конечно, надо создать provision’ы по типу антенн (антенны для 2,4 и 5 ГГц разные в ROS)

Действия для диапазонов:  
- создать динамически активированный мастер → скрытый MGMT WLAN  
- столько slave WLAN, сколько нужно, не скрытые

Далее настроить список доступа — какие устройства могут подключаться к каким WLAN. Контроль доступа к интернету можно устроить через правила фаервола, например:

/ip firewall filter add action=accept chain=forward src-address=192.168.21.0/24 dst-address=192.168.10.0/24  
/ip firewall filter add action=drop chain=forward src-address=192.168.21.0/24 dst-address=0.0.0.0/0