Hasznos, hogy ezt így leírtad, biztos, hogy sokaknak segítség lesz. Csak építő szándékkal pár gondolat:

- Ha a Unifi vezérlőben egy hálózatnál bepipálod az "Apply guest policy..."-t, akkor már eleve az AP elszeparálja egymástól a klienseket. Vagyis a wifi kliensek nem fognak tudni egymással kommunikálni.

- Nem kell 3db bridge ehhez, elég ha egy bridge-be rakod az összes LAN oldali interface-t és csinálsz egy VLAN interface-t ami szintén a bridge-be rakható. A bridge-nek is adsz egy DHCP szervert (mondjuk 192.168.10.0/24) és a VLAN interface-nek is egy másikat (mondjuk 10.10.0.0/24). A két hálózat közt meg egyetlen tűzfaszabállyal le tudod zárni a kapcsolatot. Unifi vezérlőben pedig a guest hálózatnak megadod VLAN ID-ként amit a VLAN interface-ednek adtál, a belső wifi hálózatnak meg nem adsz VLAN ID-t.

Ezzel azt érted el, hogy van 2 SSID, külön egy irodai és külön egy vendég, a router fizikai portjai pedig mind az irodai hálózatba néznek. Tetszőleges számú VLAN-t tudsz így még alápakolni további bridge-ek nélkül, tök egyszerűen.

Ha azt akarod, hogy ezen felül a Mikrotik fizikai lábai is mind külön hálózathoz legyenek dedikálva akkor pedig az InterVLAN a kulcsszó: https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.