Už to komplikuješ. Vázání VLAN na MAC je blbost - jednak by to musel umět tvůj switch, což nejspíš neumí, zadruhé jsme u stejného problému - co zabrání správci Mikrotiku nastavit na WAN portu jinou MAC adresu?
Toto se řeší pomocí 802.1x a certifikáty (což zase tvůj switch neumí).

Jistým řešením je domluvit se se správcem toho firemního Mikrotiku, aby veškerý provoz na WAN odcházel jako tagovaný nějakou VLANou, a na tvém domácím switchi nastavit všechny porty jako trunkové s tím, že netagovaný provoz bude padat do tvé domácí sítě, tagovaný do separátních VLAN. Pak to bude fungovat tak, jak jsi popsal (tj. domácí zařízení má přístup do domácí sitě, Mikrotik jen do své VLAN).
Ale zase jsme u stejného problému - jak zaručit, aby správce toho cizího Mikotiku neprovedl takové změny aby se dostal do tvojí sítě?

Otázka k zamyšlení: Jaký by měl mít admin toho Mikrotiku motiv, aby se ti hrabal v domácí síti?