Para que los PCs de detrás del ar-5387un "encuentren" el router ASUS, tienes que definir una ruta en el ar-5387un. Si no lo haces, cualquier cosa que no sea la lan del ar-5387un será como si fuera una salida a "internet" a través del gateway y atravesará el router ASUS.
Crea una ruta en el ar-5387un:
route add -host 192.168.2.1 dev eth0.2
eth0.2 debe ser la WAN del ar-5387un. Le dice que la salida para esa IP no debe ser a través del gateway. Aunque sea la misma, no tiene el mismo efecto.
Mira la interfaz de la WAN, que se le asigna al modo cliente y sustituye eth0.2 por la que tenga.
Yo lo uso para aislar el módem de la operadora del router principal con redes distintas, y aún así sigo teniendo acceso al módem desde dentro de mi red. Lo tengo puesto en un fichero ejecutable dentro de /etc y lo ejecuto cada vez que incio el router en rc.local
P.D.: Si quieres que encuentren más dispositivos aparte del router ASUS en la red 2.x tendrás que definir tantas rutas como dispositivos si no son muchos, o definir una subred en la ruta.