Tak vyřešeno
Nakonec jsem použil řešení od nl12345 - wifi router jsem zapojil WAN portem, zapnul DHCP na 192.168.1.x a ve firewallu přidal pravidlo "-iptables -I FORWARD -d 10.0.0.1/24 -j DROP", takže se nic připojené na wifi routeru nedostane do sítě 10.0.0.x (adresy přidělované hlavním routerem). Myslel jsem, že nepůjde internet, protože se nepůjde připojit ani na hlavní routeru, ale zdá se že to není problém.

Díky moc vám všem za pomoc