Классическая схема - отдельной группе компов отдельный VLAN на управляемом коммутаторе, он воткнут в маршрутер, который умеет понимать VLAN trunk и маршрутизировать между ними. Задача решена.
Управляемые коммутаторы в разных зданиях соединены оптикой, оптика втыкается в SFP модуль, который воткнут в SFP порт коммутатора/маршрутизатора.
VLAN100 - невидимые компы
VLAN200 - все остальные.
TRUNK - канал связи, по которому управляемые коммутаторы умеют пробрасывать сразу несколько сетей, не смешивая их между собой. Обратите внимание - все промежуточные устройства до выходного маршрутизатора должны уметь это делать, чтобы из 2-3 здания спец-компы суметь довести до интернета, никому их не показав при этом.
Сложность в двух местах:
1. все сети в итоге должен разруливать TP-LINK, а я только с паре с нестандартной прошивкой OPENVRT нашел упоминание, что вланы на нём можно делать и управлять. Стандартная прошивка позволяет только выделять IP/TV вланы, что для решения текущей задачи скорей всего окажется недостаточно.
2. Проблема с wi-fi мостом - если убики умеют поднимать между собой trunk, то всё супер. Если нет - вопрос как две независимых локалки пропихнуть по общему каналу, чтобы они не пересекались.
Потребуется в 1 и 3 здание управляемый коммутатор,
tplink воткнуть для раздачи инета гостям, а разруливать все маршруты и вланы - поставить микротик или еще что достаточно умное.
Нагрузку от пары десятков человек разрулит микротик достаточно компактный по мощности.
Крутой вариант - циска. Даже б/ушные с авито. Только полистайте CCNA, чтобы понять всю логику.