PCIeパススルーでNUC本体の無線LANユニットを接続し、hostapdによるアクセスポイントに成功した。
基本的な手順は下記を参照した。
hostapd を使用した簡単な方法で WiFi に強力な暗号化を実装する
confファイルについては、zypperでインストールする際に追加されたもののデバイス名だけ書き換えることで動いた。
上記のサイトではドライバをnl80211にすると書いてあるが、デフォルトのままで動作した。

これでMACアドレスごとに事前交換鍵が異なるアクセスポイントができた。
ルーターなどの共通鍵よりちょっとセキュアなのと、MACアドレスフィルタリング相当もできたことになる。
MACアドレスは偽造可能なので、微妙だけど…

ただ、SuSE Firewallを使っているルーター本体の方が不安定なので、専用のアプライアンスなどを検討する。