Я так понял:
микрот 1 - главный, основная подсеть
микрот 2 - внутренний, своя подсеть, подключается через первый и выходит в инет
Решение - дать микроту 2 статический ip из подсети микрота 1, а затем запретить траффик между этим ip и любым другим ip микрота 1, кроме ip самого микрота 1.
Как это сделать - гуглите. Заодно научитесь микрот настраивать. Делается через firewall, запрет client-to-client в локальной сети.
Есть еще решение поправильнее - сделать вторую подсеть или вообще отдельный порт отдать под микрот 2, со своим ip для микрота 2 и для этого ip включить масгардинг чтобы инет работал. И запретить в фаерволле общение между wan микрота 2 и основной локалкой.