Die NanoStations können im WDS-Modus auch VLANs transportieren. Also:
- VLAN 1 = Privates Netz
- VLAN 2 = Freifunk-Mesh
Dann müsste man auf beiden Seiten noch in einen managebaren Switch installieren (im Zweifel reichen TL-SG105E, wenn man auf ein Webinterface verzichten kann), der die beiden Netze wieder auf zwei getrennte Ports trennt.
Alternativ „echte“ NanoStations nehmen (keine Locos), die haben einen zweiten LAN-Anschluss, auf den man das zweite VLAN bridgen kann.
Ich würde übrigens 5-GHz-Geräte nehmen (M5 statt M2), kosten ein paar Euro mehr, aber je weniger 2 GHz, desto besser.
Alternativ so wie von @MPW vorgeschlagen: Freifunk nur in der Kirche, den VPN-Router dann dorthin.