Hur skyddar man ett lokalt subnet från annat lokalt subnet i samma "nätverksmiljö"?

Jag har ett problem.
På min fastighet har jag två bostadshus. I det större bor jag, det mindre planerar jag att hyra ut.
I det mindre finns en wifirouter som kör på eget subnet. Det är kopplat till det större huset via ethernetkabel.

Det fysiska nätet ser ut så här ("-->" markerar ethernetkabel):

Fiber in==>omvandlarbox-->Router1---->Wifirouter1
|-->Wifirouter2
|-->Wifirouter3

(Blir inte riktigt som jag vill, "Wifiroutrarna" ska vara exakt under varandra var det tänkt...)

Wifirouter3 är den i mindre huset.
Router1 (ingen wifi aktiverat) har subnet 10.1.*.*
Wifirouter1 har subnet 10.2.*.*
Wifirouter2 har subnet 10.3.*.*
Wifirouter3 har subnet 10.4.*.*
(Router1 har förstås fått sin adress tilldelad av internetleverantören, Wifiroutrarna 1-3 av Router1, övriga användarenheter får sina adresser tilldelade av respektive Wifirouter.)

Hoppas det här är begripligt, har måttlig nätverkskunskap vilket resulterat i ovanstående.

Mitt problem är att hindra användarna av Wifirouter3 att se trafiken till och från Router1, Wifirouter1 och Wifirouter2. Förutom trafiken till och från Wifirouter3 förstås.

Hur gör jag det?

Tack för svaret. Förstår vad du pratar om (med undantag av "proxy ARP"), men har just nu rätt så dålig bild hur man gör det praktiskt (tekniken/kommando alltså). Är rätt många år sedan jag prövade på att syssla med det här.
Förstår inte det här: "vill ha öppet för W1 att snacka med W3 men inte andra riktningen". Varför skulle man vilja det?

Router1 är f ö en Mikrotik router som har ett svårnavigerat interface för mig då jag inte har närmare kunskap om alla begrepp. Visst det är ett webartat interface med en hygglig layout men med otroligt många menyer och val.
Valde Mikrotik pga förväntan om kvalitet och vara mer "öppen" arkitektur. Inte direkt missnöjd med den dock.

Tack för svaret.
Alla nämnda routrar är trådade.
För mig är en "accesspunkt" en wifi-grej. Ser inte hur jag kan reglera kommunikationen med regler i samband med "gästnät".
Dvs jag behöver mer konkret, "hands on"-instruktioner för att komma någon vart i min förståelse.

Tack! Ser ut att vara en intressant post och tråd.
Behöver läsa in mig på conceptet.

Jo jag är medveten om ansvarsproblemet.
Vad menar du med "NAT på NAT"? Jag tror jag förstår vad du menar, men vill få det bekräftat s a s. Och i vilka avseenden blir det sämre?
I övrigt märker jag att jag behöver läsa på...

Ok. Vad är nackdelarna med router på router?

Läste på om VLAN. Vad jag ser är att det tycks använda data länk nivån av OSI modellen.
Också att det kan vara (delvis?) mjukvarubaserat eller (delvis?) baserat på speciella (avancerade? dyra?) switchar.
Så det verkar kräva en dator som driver en speciell mjukvara som sköter det hela. (Finns det en helt hårdvarubaserad lösning?) Läste också att det kan finnas säkerhetsrisker som "VLAN hopping" - som kanske enkelt kan undvikas? Men som ändå kräver specifik kodning på många (?) ställen.

Låter för mig som att det kan vara följande nackdelar:
1. Kräver egen dator och mjukvara. Spontant känner jag att det är dels ett tillförlitlighetsproblem (tillförlitlig drift), dels ett potentiellt säkerhetsproblem som med alla datorer (jämfört med mer ren hårdvara som routrar och switchar).
2. Kräver speciella switchar. Bör innebära dyr hårdvara?
3. Oklart om jag kan använda befintlig kabeldragning. Är för mig en väsentlig punkt av praktiska skäl.
4. Oklart om det säkerhetsmässigt kan fungera med hänsyn till att accessen till nätverket från det andra huset är utom min kontroll (hårdvara och eventuell mjukvara).

Har du synpunkter på min bild jag har av det hela jag har just nu?

Tack för länken!

Ang punkt 4: kontakten med det andra huset är ethernetkabeln. Jag har i princip ingen kontroll över vilken hårdvara som den är kopplad till i det andra huset. Dvs de kan göra absolut vad som helst i den änden av kabeln. Har en föreställning att det kan vara en säkerhetsrisk. Jag kanske har fel?

Om jag förstår dig rätt behövs bara en VLAN-kapabel produkt, dvs där Router1 finns i min beskrivning. Är det rätt uppfattat?
(Just nu är jag osäker om min befintliga Router1 klarar VLAN. Verkar inte så, men dokumentationen är oklar.)

Beträffande switchar, var kommer de in i min beskrivning? Mina wifiroutrar är ju direkt kopplade till Router1. Låter som att det inte behövs switchar hos mig? Eller?
(Jag kommer iofs ev i framtiden koppla in en switch direkt till Router1 - kabel till annan del av huset - om jag kommer igång igen med datorbyggen.)

Now we're talking!
Din första variant låter idealiskt. Det enda är att jag inte vet om jag kan få en ip-adress till. (Och ev vad den skulle kosta.)
Min ISP är Bahnhof via lokalt fibernät via Telia öppen fiber.
Ofta när jag kommunicerat med Bahnhof tenderar de att inte "hitta" mig när jag talar om min gatuadress... (De har min adress osv i sitt register. Då är det inga problem, i varje fall när de ska debitera mig. )

Men jag får kolla med Bahnhof.

Den andra varianten funderar jag vidare på.

Tack för förslaget!

Tack för svaret.

1. Fick det intrycket av ett par inlägg i tråden och vad jag hittade i ett par länkhänvisningar. Plus vad jag googlat. Men som sagt har ingen närmare kunskap on VLAN.

Vad gäller nackdelarna med router så har jag inte vetat om dem - eller rättare sagt inte funderat närmare när jag satte upp nätverket. Har iofs inte märkt några större problem.

Ditt förslag verkar vara det bästa, bara det går att få en till IP från min lev Bahnhof.
Bästa bl a för att det är väldigt enkelt att fixa för mig och minsta möjlighet till problem (problem = jag strular till det när jag konfigurerar).

Uppdatering:
Kan inte få mer än en IP på min uppkoppling via Bahnhof. Exakt varför vet jag ej men det var kontentan av min längre diskussion med Bahnhofs support.
En publik/privat (fast) IP-adress kan jag få (mot betalning), men det är just EN.

Så jag får titta på annan lösning.

Läste lite om CGNAT. Verkar som det kan bli problem om man själv har ett/flera NAT?

Dessutom: blir det inte lite samma problem med säkerhetsrisk mellan min trafik och hyresgästens? I mitt ursprungsproblem var ju konfigurationen så att det var olika NAT för mina routrar och hyresgästens router där bådas trafik kanaliseras via EN IP-adress. Är det inte samma "intrångsrisk"?