для полноценной защиты тебе нужно 3 простых роутера
1 роутер выходит в интернет, в нем локальная сеть 192.169.0.0/24
каждому клиенту роутеры 2 и 3, в каждой из них настроена своя сеть, отличающаяся от сети первого роутера (маловероятно что роутеры сумеют NAT-ить если ip совпадут, хотя в принципе такое возможно), пусть будет 192.168.1.0/24, при этом WAN порты этих 2 и 3 роутеров подключены к портам локальной сети 1 роутера.
в этой схеме оба клиента максимально изолированы друг от друга (читай vlan) но будет очень нехороший недостаток - не будет работать upnp, а для настройки перенаправлений портов нужно будет доступ к роутеру 1 и роутеру 2 и 3 соответственно, т.е. один пользователь должен иметь доступ к первому роутеру и оба клиента к своим.
