Как настроить видимости и изоляции внутренних влан на mikrotik?

Дмитрий Шицков То есть накидываю вланы на интерфейс. Создаю их на микротике. Запускаю ДХЦП. И по умолчанию все вланы видят друг друга, если не оговорено правилами выше? или какие то настройки пропустил? надо ли вланы загонять в бридж? надо ли может быть настроить ip>route а затем уже правила. Или по умолчанию все работает "из коробки"? и тогда у меня получается нужно правила смотреть? Опять в чем разница между forward и input в настройке правил? Там просто до меня настроено все как то, но злых дропов особо нет, а скидывать не вариант, так как сеть живая, если что упадет, будет не хорошо :))

edh_krusher, vlan в бридж не надо (хотя возможен такой вариант конфигурации с vlan aware bridge, но я его не умею готовить). По умолчанию роутер будет маршрутизировать трафик между vlan. Дополнительные роуты не нужны - роутер и так сидит между всеми этими сетями.
forward - это тот трафик, который идёт через роутер (большая часть трафика) - из одной сети в другую.
input - трафик идущий на роутер - пакеты адресованные именно роутеру, такие как winbox-подключение, ssh, web-proxy, dns и т.п. - те сервисы, которые работают на роутере.

И используйте кнопку Safe Mode чтобы живую сеть не завалить.

Дмитрий Шицков, Спасибо за инфу! А то статей 20 перерыл и везде одно и тоже, без ответов на мои вопросы. В принципе так и думал, просто голову бриджами запудрили в одной статьей, я и подумал, что к микротику это надо тоже сделать. )) В моем случае значит надо все правила пересматривать, какое то из них видимо и блокирует траффик. Кстати не скажете, тут active directory еще запущен, он может влиять на L2, L3? или он только себя защищает? настройки карты политикой не заблокированы.

edh_krusher, active directory вообще тут никаким боком и, тем боллее, даже себя не защищает)
Из одной подсети в другую если идут запросы, настроенный по умоляанию фаервол в windows может дропать трафик из чужой подсети.