Ok, ich habs endlich hinbekommen 
Der Grund warum es nicht geklappt hat:
Ich hatte eth0.2 in die Brücke br-wan getan. Mir war nicht bewusst, das eth0.1 und eth0.2 keine echten Interfaces sind, sondern nur VLANs. eth0.1 ist VLAN1 und eth0.2 VLAN 2. Damit habe ich beide VLANs zusammengebrückt, was natürlich absoluter Käse war 
Hier die nötigen Schritte, um das Netz am WAN-Port eines CPE210 an dessen Secondary LAN-Port weiter zu reichen. Der an den Secondary LAN-Port angeschlossene, zweite CPE210 nutzt dann den gleichen Uplink und bekommt eine eigene IP-Adresse vom Router/Modem zugeteilt und kann sich somit auch seinen eigenen VPN-Uplink zu einem Supernode aufbauen:
# eth0.2 aus dem Client Netz nehmen
uci set network.client.ifname='bat0'
# VLAN 2 löschen
uci delete network.@switch_vlan[1]
# VLAN 1 den freigegeben Port 4 (LAN) zuweisen
uci set network.@switch_vlan[0].ports='0t 4 5'
uci commit network
/etc/init.d/network restart
Danke auf jeden Fall an @Freigraf für den entscheidenden Tipp!