Гостевая точка доступа

[Пончик]

Вечер добрый!
Сразу прошу прощения, может не тут спрашиваю..
Собственно интересует правильно ли я создал гостевую точку доступа.
Есть роутер "А" который подключен к сети (интернет) и он главный DHCP сервер. К нему подключены через хабы и свичи разные девайсы.
Есть роутер "Б" который точно так же лан портом подключен к роутеру "А" и от него получает айпишку.

Хочу чтобы роутер "Б" работал как точка доступа, разадавал айпишки в другом сабнете и клиенты (вайфай) не имели доступа никуда, только в интернет.

Собственно...

1) Лан порт роутера "Б" настроен как дхцп клиент
2) Создал виртуальный интерфейс на роутере "Б" и к нему прицепил вайфай
3) На интерфейсе поднял дхцп сервер который раздает айпишки вайфай клиентам в сабнете 192.168.2.1
4) Через фаерволл разрешил вайфай клиентам ходить в лан к роутеру "А" и включил маскарадинг
5) Сейчас думаю тагировать трафик с роутера "Б" чтобы гостевые клиенты не имели достп к главной сети 192.168.1.1

Ребят. Подскажите пожалуйста все ли правильно я делаю? Может есть другие методы? Более правильные? Спасибо большое!

[AnrDaemon]

1. Подключить роутер B WAN портом в сеть организации.
2. На ответном порту маршрутизатора прокинуть отдельный VLAN до шлюза.
3. На шлюзе настроить фильтрацию, чтобы с VLAN роутера никуда кроме интернета ходить не могли.
4. Роутер настроить как душе угодно.