Ik heb hier 4 SSID's (zakelijk, prive, PLi en guests), en heb client isolation alleen op de laatste, daar zitten ook mijn IoT devices in. Die zitten alle 4 op aparte VLAN's met een eigen interface op een Sophos UTM firewall (die ook mijn router is). Mijn internet hangt hier ook direct aan (dus PPPoE direct op de firewall).
Alles met een default "deny all" rule, met een PiHole DNS sink, en een filtering proxy voor alle uitgaande http verkeer zodat ik ook weet wat dat is, en waar het naar toe gaat.