Asi pořád nechápeš, jak to má fungovat.
To, co tím DHCPv6-PD dostaneš je tvoje interní síť. Ano, je to dynamické, ale to z principu SLAAC také. Nikdy nevíš, co tam bude za IP. Zvlášť od doby zavedení private-extensions, kdy se to mění každou chvilku. U IPv4 jsi také mohl mít víc adres na rozhraní, ale nijak extra se to asi v praxi nepoužívalo (u klientů, servery jsou jiná otázka) a musel jsi to udělat ručně. Ale u IPv6 je to naprosto běžné.
Takže stavět firewall z LAN strany podle IPv6 adres fakt nejde.
Trochu si asi můžeš pomoci scriptem u DHCP klienta (ale nezkoumal jsem možnosti). Předpokládám, že tím můžeš třeba ukládat obdržený prefix do address-listu. A ten pak použít ve firewallu.
Asi by to šlo pomocí DHCPv6 v kombinaci s nějakým lepším switchem (aby zabránil ruční konfiguraci). Jenže tohle ti padá na tom, co jsem už řekl. Mikrotik neumí přidělit jen jednu adresu. Windows (pravda, nevím jak win10) si celý prefix z PD nepřeberou. S mobilními telefony máš také smůlu, protože google to podporovat doslova nechce (někde se i oficiálně vyjádřil).
Takže ti zbývá konfigurace dle rozhraní. A vzhledem k v podstatě děsnému plýtvání u IPv6 tak uvažovali i autoři. Máš tolik adres, tolik segmentů, že můžeš mít doma desítky sítí, každou na jiné VLAN. A definice bezpečné - nebezpečné je už na tobě.
Podle mě ani neuvažovali nad tím, že pokud bys chtěl nějaké zabezpečení, tak že nebudeš používat switch s ověřováním 802.1x.
Komplet (polo)statickou konfiguraci jako u IPv4 neuděláš. Myslím tím něco jako dhcp server static only, zapnutí add arp for leases a k tomu nastavení portu jako arp-reply-only. A nejsi schopný (byť vše neznám) to udělat nikde, nejenom u mikrotiku.
