Если ещё не решилось - пиши, помогу настроить.
Если кратко, то поднимаешь виртуал AP, на файрволе поднимаешь отдельный маскарадинг для неё, а правилами трафика делаешь запрет подключения в локальную сеть, только в удалённые.
Поднимаешь для интерфейса виртуал АП отдельный dhcp, либо вообще натравливаешь на неё пакет hotspot =)