Vilket OS har du tänkt köra? Med OpenWRT (eller annan Linux) så är det inget problem med drivrutiner till WiFi, med BSD-baserade OS så får du räkna med att det inte går. 2GB är fullständig overkill för OpenWRT, det går att köra på 64MB RAM.
1Gb/s ska inte vara ett problem. Jag har testat att routa det på LAN, det fungerar fint. Teklager har en artikel om WiFi-hastigheter du kan titta på. Jag vill minnas att jag fått en bit över 300Mb/s från WiFi till ethernet när jag testat med iperf. Det finns en tråd någonstans på OpenWRT-forumet där en av senior-medlemmarna testar Wireguard- och OpenVPN-prestanda på diverse enheter, på VPN kan du inte vänta dig att maxa 1Gb/s på APU:n, CPU:n har hårdvaruaccelerering men orkar ändå inte hela vägen - detta gäller förstås bara om det är APU:n som står för krypteringen.
OpenWRT har ett paket som heter adblock som kan ersätta Pi-hole och därmed spara ett interface.
Du behöver kolla hur många WiFi-kort du vill stoppa i burken. Ett kort klarar antingen 2,4 GHz ELLER 5 GHz ac. Två kort om du ska ha båda banden alltså. APU4 har bara en mini-PCIe-kortplats och kan därför bara köra ett band. Observera att Teklager säljer ett kort (200wx?) som bara klarar 2.4GHz, medan de andra om jag minns rätt klarar 5GHz OCH 2.4GHz, men INTE samtidigt.
APU:erna har riktiga interface, inte en inbyggd switch, så det är relativt enkelt att routa/brandvägga utan att hålla på med VLAN. Vill man ändå köra VLAN går det förstås bra. En extra dum-switch är ju relativt billigt om man behöver fler portar. Det man kan fundera på är om man vill köra annan hårdvara eller APU utan WiFI och ha en separat AP (men att hitta en fri sådan är ju knepigt). Det ger mer frihet att välja OS på routern, om man till exempel vill köra OPNSense i stället.
Jag är otroligt nöjd med min APU (3, dubbelt WiFi, 4GB) med OpenWRT. Projektet är alltid snabba med att få ut säkerhetsfixar OCH workarounds för nyupptäckta säkerhetsproblem. OpenWRT stabil version ligger rätt lång efter den mesta mjukvaran, men ändå enormt mycket före de flesta vanliga konsument-routrarna som kör någon asgammal Linux-kärna som de inte kan uppgradera på grund av proprietära drivrutiner, plus forkade/proprietära versioner av dnsmasq och liknande. Om man vill så kan man köra master-branchen av OpenWRT som är nyare (men under utveckling), den säkerhetsuppdateras också.