Möglichkeit 1:
Router kann 2 Netze Bereitstellen und kann Firewall-Technisch den Zugriff gegenseitig oder einseitig blockieren.
Hier wäre dann jeder Access Point in einem eigenen Subnetz. (Beispielsweise 192.168.0.254/24 LAN Privat | 192.168.222.254/24 Gastnetz)
Dann müssten die Accesspoints keine eigenen neuen Netze aufbauen
Möglichkeit 2:
Die Acesspoints oder zumindest der Accesspoint für das Gastnetz baut ein eigenes neues Netz auf inkl. DHCP-Server und du kannst den Accesspoint die Kommunikation mit dem Router als einziges Gerät beschränken.
Möglichkeit 3:
Du kannst Firewalltechnisch dem DHCP-Bereich den Zugriff auf das Internet erlauben und gleich danach eine Regel die alles weitere (any/any) dropt/blockt. würde dann aber vorraussetzen, dass du im Privaten Bereich feste IP Adressen benutzt, alternativ kannst du deinen festen Adressen in der Firewall dann erlauben was du magst und alles weitere blocken.
Ist eine Möglichkeit aber wahrscheinlich zu kompliziert einzurichten falls möglich.
Möglichkeit 4:
Nur um sie zu erwähnen:
Eine Lösung die für solche Szenarien vorhergesehen ist mit einem Gerät, dass AccessPoints kontrolliert und die Zugriffe Regelt. Aber das dürfte für die meisten Menschen das Geld im Privat Bereich nicht Wert sein.
Von 1 nach 4 sind das meiner Meinung nach Szenarien der Schwierigkeit und Machbarkeit von leicht nach schwer sortiert.
Ich persönlich fahre gut mit #4, aber ich habe den Vorteil, dass ich damit beruflich umgehe.
Und ruhig weiter fragen, wenn ich kann werde ich sie dir beantworten, bin bloß einigermaßen tippfaul