Russian Users MikroTik | Форум пользователей MikroTik

чем правильнее регулировать доступ между vlan`ами : с помощью firewall или router rules?
ну и почему если можно.

Vlan - это для разделения трафика вообще-то. То есть как бы загнав подсеть во vlan, вы уже ограничили к ней доступ. Так зачем вам его еще регулировать? Если нужно регулирование, проще просто разные подсети для разных нужд.
Ограничение доступа в правилах маршрутизации очень общие и простые, как шлагбаум. А фаервол - штука очень гибкая, там можно столько оговорок и отнорков для каких-то своих ситуаций оставить... В подавляющем большинстве случаев пользуемся фаерволом.

загнал в vlan, раздал подсети из разных диапазонов в каждый. по умолчанию микротик роутит их все во все. а нужно например: vlan 2 имеет маршрутизацию ко всем vlan, vlan3 имеет маршрут только к DNS и файлопомойке, vlan4 имеет к файлопомойке, DNS , терминальному сервер с 1с , vlan5 имеет доступ ко всему предудущему и например к интернету , никакой vlan не может подключиться к vlan в котором управляются все коммутаторы и тд и тп.

router rules в большинстве своем разграничит сети полностью, без каких-то оговорок, как только вы захотите там нечто "ювелирное", то у вас в правилах начнет появляться монстр из кучи строк, что не очень хорошо в дальнейшем для вас же, когда попытаетесь повторно вникнуть в случае изменений.
А фаервол крайне гибкий инструмент, которым вы как раз сможете все своих хотелки реализовать, но поскольку в фаерволе у вас есть еще и иные правила, то во время настройки придется подумать, какие конкретно правила вас интересуют и куда конкретно в фаерволе их нужно разместить, т.к. порядок правил имеет огромное значение. Так же минусом фаервола будет являться нагрузка на вашу шелезку, каждое правило это доп. нагрузка на ваш микрот, поэтому хорошо, когда вы пишите свои правила с умом, стараясь минимизировать количество строк.