Você não precisa necessariamente marcar os pacotes no roteador OpenWRT (ou usar uma VLAN). Se você quer apenas que ele forneça uma rede de convidado, você pode configurá-lo como qualquer outro AP e conectá-lo a uma das portas LAN do seu EdgerouX e configurar uma rede separada para aquela porta no seu Edgerouter (até onde eu sei, O EdgerouterX realmente tem múltiplas interfaces físicas, ao contrário do seu AP, que provavelmente tem apenas um e um switch integrado). Para fazer isso, você pode seguir este guia, usando por exemplo "eth2" em vez de "eth1 vif 10". Opcionalmente, você pode modificar a configuração do firewall no AP OpenWRT para que ele simplesmente conecte o WiFi sem roteamento, já que o Edgerouter já faz o NAT para você (salva você do NAT duplo).
Se você quiser usar VLANs no OpenWRT, primeiro você precisa configurar a VLAN no switch integrado do seu dispositivo OpenWRT (LuCI: Network- > Switch, add) e selecionar "tagged" na porta que você conecta ao roteador de borda e na porta "CPU". Depois disso, é mais fácil apenas criar uma nova ponte (Network- > Interfaces, Add new), cobrindo "VLAN Interface: eth0.X" e depois alterando a configuração sem fio para fazer a ponte para ela em vez de para a ponte LAN (Network - > Wireless- > Editar). Como você não precisa rotear, não é necessário configurar regras de firewall para a nova ponte, pois tudo é tratado no EdgeRouter. A vantagem dessa configuração é que você separa o tráfego do OpenWRT em gerenciamento (sem tag) e tráfego do cliente (marcado).