Ist ja fetzig.
Erfordert das noch Änderungen am Server Backend?
So nach einigem probieren bleibt nun die Antwort:
Es ist nicht möglich mit IBSS Verbindungen mit dem MAC Filter zu verhindern.
Diese Funktion wird nur von 802.11s unterstützt und muss dann mittels iw dev $MESH_IFACE station set $HW_ADDR plink_action [open|block] gesetzt werden.
Siehe: HOWTO · o11s/open80211s Wiki · GitHub
Eine gute Alternative stellt da die von @CyrusFox vorgeschlagene VLAN Varriante dar.