Ty ale VLANy s jedním zařízením vůbec nepotřebuješ. Ty jsou třeba, až když ty oddělené sítě distribuuješ přes více aktivních prvků (switchů).

Ve tvém případě stačí vytvořit druhý bridge, přesně tak, jak to máš ve svém konfigu. Jen bych ve firewallu použil místo IP adres (které se mohou měnit) jednotlivé názvy bridgů. A ověřil bych si pořadí filtrů u forwardu, protože opravou níže uvedeného problému se může stát, že se nebudou vůbec aplikovat (to teď z hlavy nevím, jaké je tam pořadí, ale tvá dvě pravidla pro zákaz forwardu mezi LAN sítěmi musí být PŘED pravidlem povolujícím forward pro iface list LAN)

Dále ti chybí přidání bridge "Souseda" do interface listu LAN (což je důvod nefunkčnosti a problému, na který se ptáš):

/interface list member
add interface=Souseda list=LAN

pak se ti rozjede NATování do internetu i u Sousedy.

edit: obecně platí, že všechny LAN-sítě musí být uvedeny v listu LAN, všechny WAN porty v listu WAN. Pak budou správně fungovat defaultní mikrotikácká firewallová pravidla, která jsou postavena právě na těchto listech.