Soluzione "casereccia":
Internet => Router1 => Lan Intranet
Router1 => Router2 => Lan Utenti

Spiegazione.
Per il Router1 usi la rete (per esempio) 192.168.1.0/24, col gateway configurato su 192.168.1.1.
Il Router2 ha la parte WAN configurata su 192.168.1.254 (ip fisso!!) e connessa a una porta LAN del Router1.
In questo modo hai una rete 192.168.1.2 to 192.168.1.253 che resta sul Router1 e una 192.168.1.254 che va sul Router2.
Il Router2 ha una parte privata configurata su 192.168.10.0/24 con gateway 192.168.10.1. Sulla parte LAN di Router2 quindi hai gli utenti, che sono su una rete indipendente (192.168.10.0/24) e quindi non direttamente comunicante con l'altra rete. A questo punto, se gli Utenti devono accedere a risorse della Intranet, dovrai solo creare le rotte statiche relative dal Router2 al Router1. Se sulla Intranet hai il server DNS, dovrai anche istruire Router2 per utilizzare i DNS sulla Intranet, quindi p.e. istruire Router2 che i DNS sono su 192.168.1.20 e 192.168.1.30.

Occhio alla costruzione della rete LAN di Router1. E' meglio se la fai come rete /24 e semplicemente "riservi" il .254 al Router2 (adattando eventualmente il range di IP DHCP di Router1 in modo che ESCLUDA il .254, o modificando opportunamente il DNS della Intranet, allo stesso modo).