iapp nie jest panaceum na wszystko. Niestety jest niedopracowany a i klienci wifi sobie z nim nie radzą.
Bez kontrolera niewiele się tu zrobi z płynnym przełączaniem.
Dlatego wolałbym pójście w kierunku 802.11r  bo to będzie lepsze. Kiedyś testowałem ale jedyne co uzyskałem to nic bo nie wszystkie sterowniki wspierają ten tryb więc ap nie chciały się dogadać. Poza tym to nic nie da jeśli klient nie będzie gadał tak samo.

Iapp jedyne co robi to wymienia info o podłączonych klientach coś jak brodcast. I przyspiesza przełączanie jeśli klient chce zmienić bazę. Przyspiesza na tej zasadzie, że już zna klienta a nie musi go negocjować.
Do tego jeszcze musi być identyczna adresacja ip, identyczne ssid, identyczne metody szyfrowania(najlepiej psk2-ccmp), jeden dhcp i w miarę powinno być ok.

Acha iapp niewiele robi z wymuszeniem przełączenia nadal to klient decyduje czy przełączyć się do innego ap.
A jak to robi ? Jedne mają odpowiednie opcje o roumingu inne ich nie mają. W sumie to loteria.

Poza tym odpal tcpdumpa i zobacz co lata po lan. Powinny latać pakiety od iapp.

domyślam się że chodzi o ipsec
jak rozumiem nie korzystasz z nat-t
niestety wiele razy naciąłem się na moduły nat od ipsec więc nie polecam z nich korzystać jeśli je masz wyładuj je i żeby była jasność nie dotyczy to tylko openwrt ale ogólnie różnie się to zachowywało w innych dystrybucjach

a możesz napisać co w logach piszczy checkpointa ?

mam pytanie czy aby nie jest tak że oba wan są aktywne ? Bo jeśli tak to czy nie jest tak że pakiety wychodzą jednym łączem a wracają drugim ? Albo na zmiane są wysyłane jednym i drugim łączem ? Też się z taką sytuacją spotkałem kiedyś.

poza tym przydał by się iptables -L -v z routera z regułami po zerwaniu połączenia może tam coś siedzi i wpada źle

jakby openwrt był docelowy to bym powiedział, wyłączyć znakowanie pakietów bo to niszczy pakiety ipseca ale przy forwardzie to raczej nie to

gdybać to se można

a może byś napisał jakiego narzędzia chcesz użyć. ipsec, openvpn, itd.
Dajmy na to w OpenVPN ma wszystko co potrzebujesz a to jaką trasę dostanie klient ustawiasz w głównym konfigu i ccd.
Wszystko jest w manualu. Bez problemu z jednego klienta dostaniesz się do drugiego kwestia ustawienia tras routingu no i firewalla po stronie serwera openvpn

tak dokładnie to może się zdarzyć, że nawet i 150 aktywnych userów nie będzie mogło dostać swojego IP.
Weźmy na to, ze ktoś dostał ale sie rozłączył to dhcp przydzieli następny wolny bo czas dzierżawy jeszcze nie minął.

no tylko żeby tplink chciał go fabrycznie wgrywać

Aby miał musisz
1) mieć kartę sieciową/sterownik w PC który obsłuży VLAN (ma taką opcję)
2) dodajesz vlan2 w sterowniku karty sieciowej
3)przypisujesz adresy ip
2) następnie tagujesz ramki na porcie 4 "4t" na routerze
i to wszystko
innej drogi nie ma

ta pewnie chciał adres publiczny na port lan przypisać ale to nie tak się robi

nie możesz mieć jednego portu nietagowanego przypisanego do wielu vlan

40Mhz dla 2,4 jest przereklamowane

aby otrzymywać komunikaty pod windows trzeba włączyć usługę posłańca która to jest domyślnie wyłączona.

no to porządnie go odchudzili

@Cezary:
a mnie dziwi odpowiedź nslookup. Szczególnie odpytanie serwera 8.8.8.8
nie powinien odpowiedzieć localhostem bo odpytuje serwer zewnętrzny
Dla mnie dziwne