eu tive a mesma coisa em execução na minha configuração pre-openwrt linksys dd-wrt-24sp2. Foi isso que consegui extrair de um backup do nvram:
rc_firewall=EXTIP='nvram get wan_ipaddr'
iptables -I INPUT -i br1 -m state --state NEW -j logdrop
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j logdrop
iptables -I FORWARD -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 443 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT
br1 é a ponte convidada, conectando o convidado secundário wlan e uma única porta rj-45. 192.168.1.2 é o meu servidor principal, ao qual eu permito o acesso apenas a serviços específicos da rede convidada (443, 25 22). idem para acesso a apenas alguns serviços cruciais no próprio roteador (67, 53, 1194). tun0 é o adaptador openvpn.
Você também deve definir melhor o que "não funciona". As solicitações DHCP chegam ao roteador? Eu acho que havia duas opções disponíveis para servidores DHCP e DNS, você está usando dnsmasq? Está escutando em todas as interfaces? Ativar temporariamente o syslog no roteador, você poderia fazê-lo enviar coisas para outro syslog em execução ou apenas colocar as mensagens -f / var / log / messages (provavelmente) no roteador.