Sua foto e primeiro parágrafo fazem sentido e são factíveis.
No entanto, sem acesso ao roteador principal:
So the main router (177.x.x.1) is on the provider's side and I have no access to them
CENÁRIO # 1 (roteamento completo entre os dois roteadores)
você precisaria do provedor / suporte para modificar a configuração do roteador principal para rotear o tráfego destinado às sub-redes que estão penduradas no roteador nº 2.
Você também exigiria que o provedor modificasse o roteador principal (ou o firewall de borda) para permitir as regras NAT de entrada apropriadas e as regras NAT de saída para o tráfego de entrada e de saída das sub-redes no roteador 2.
Você pode colocar as regras de tráfego de saída no segundo roteador, se quiser, mas não pode gerenciá-las somente a partir do roteador 2. Será necessário pelo menos uma rota padrão no roteador 2 para o roteador principal (para acessar as outras sub-redes e a Internet).
Você também precisará de rotas no roteador principal (e possivelmente em ACLs se estiver executando o serviço de firewall) para permitir que suas sub-redes lan atinjam as sub-redes no roteador nº 2.
CENÁRIO # 2 (NAT duplo e isolamento de redes)
Você solicitaria ao provedor que modificasse o roteador principal para o tráfego de entrada NAT dos IPs da WAN que você deseja "isolar" para o roteador 2 e, em seguida, faria NAT novamente. Eles poderiam permitir "qualquer um" regras para o seu roteador # 2 e, em seguida, você teria firewall / acl o que você queria. Permitindo que você modifique essas portas / regras a qualquer momento. Não haveria rotas / regras entre os dois roteadores além dos necessários para este segundo NAT.