Piensa que rendrás un router con 3 redes indepentes: la que se conecta a internet, la que da servicio a LAN+WIFI, y la que da servicio al HOTSPOT; al ser redes independientes, puedes configurar cada una como tú quieras, a nivel de DHCP, tráfico entre ellas, ...
Si buscas en Google por "openwrt guest network" encontrarás bastante información; por ejemplo:
https://wiki.openwrt.org/doc/recipes/guest-wlanhttps://wiki.openwrt.org/doc/recipes/guest-wlan-webinterfaceY si quieres que los clientes del HOTSPOT pasen obligadamente por una página de identificación, busca por "openwrt captive portal".
-Es posible que el hotspot tenga su propia asignacion dhcp en otro rango que la red lan+wifi privadas
Sí: de hecho, tendás que configurar un DHCP en un rango para una red, y otro DHCP con otro ranto para la otra red.
-como tienen que ser lar relas del firewall para que no se vean los clientes entre las 2 redes
La pregunta es cómo tendrían que ser las reglas para que se vean, porque por defecto no se verán.
-Se pueden denegar servicios p2p ssh en el hotspot y permitirlo desde lan+wifi privadas
Sí, porque al ser redes independientes, puedes permitir / prohibir el tráfico en cada red de manera independiente.
Espero haber ayudado!