Если роутер умеет делать гостевую сеть, то в чем вопрос?
Больше ничего делать не нужно. В гостевой сети доступ идет только на шлюз в интернет. А обычная сеть включается в вашу локальную.
Т.е те кто подключился к гостевой никак не попадут в вашу корпоративную сеть, и никаких телодвижений делать не надо.
А что касается защиты корпоративной сети от взлома это уже отдельный вопрос.
Сразу скажу что скрытие сети и ограничение по маку это абсолютно бесполезные вещи.
Скрытая сеть просто не передает свое имя но она в эфире, ее видно, и подключиться к ней ничуть не сложнее.
Мак адрес при подключении передается открытым текстом, узнать какие маки разрешены и сделать себе такой же мак может любой школьник.
От перехвата трафика существует шифрование подключения например WPA.
А VPN в данной ситуации бессмысленно.
Простой