Т.е. все клиенты находятся в другом броадкастовом домене и порты не пробросить
Всё немного сложнее. Насколько понял, что работает всё, как и планировалось (т.е. в общем броадкастовом домене), если есть внешний dhcp сервер. Если его нет, то включается внутренний dhcp сервер и всё начинает натить наружу.
А ещё у этой точки есть неприятная особенность - огромная потеря пакетов на приём, если точка доступа не в зоне прямой видимости. Поменял антенны на новые с честным 5dbi усилением, немного исправило ситуацию.