Non è un casino, concettualmente è molto semplice. Anzi se la seconda lan di cui parli è esclusivamente wifi è quasi banale. Come hai giustamente detto la rete che ti interessa creare è molto simile a quella guest. Non posso aiutarti passo passo ma a scopo puramente didattico ti consiglio di trasformare la rete (anzi le reti, perchè sono due, 2,4 e 5 ghz) guest wifi esistente in quella di cui hai bisogno per l'IoT. Così facendo ti eviti tutta una serie di problematiche inerenti la creazione di ulteriori SSID wireless ex-novo.
Quindi, salvati un backup delle config correnti (tutta la cartella /overlay, non l'export da gui), attiva le reti guest disponibili di default, poi vai in /etc/config/firewall e studiati il suo contenuto, cioè arriva a capire cosa significano e perchè ci sono quelle regole. Ne vedrai alcune che impediscono ai client guest di contattare quelli della lan principale. A te quelle se ho ben capito stanno bene. Devi solo invece abilitare l'opposto, che onestamente non so se sia già così di default o meno, e cioè dare ai client della principale la possibilità di contattare quelli in guest. La rete wireless guest ha anche attiva la client isolation, cioè impedisce ai client wireless di contattarsi a vicenda. Se I tuoi device IoT non si parlano direttamente tra di loro ma passano sempre da internet a te questo potrebbe sate anche bene, altrimenti disabilita la suddetta isolation. Quando tutto funzionerà, salvati un backup delle nuove config. e prova a sdoppiare tutto ciò che trovi riguardo alla rete guest fino ad averne due indipendenti, una come la volevi tu che a quel punto chiamerai rete IoT, e l'altra guest come da manuale.
Più di queste linee guida generali io non so darti perchè non ci ho mai provato direttamente, non saprei dirti dove andare a cercare quello che c'è da modificare di preciso. Però sì, credo si possa fare di sicuro.
