El enrutador conocerá todas las direcciones MAC, ya que es parte de su propósito. Si el ISP tiene acceso remoto al enrutador, siempre podrán ver esa información en la tabla ARP.
Si poner un enrutador interno ayudará es algo discutible: debería ayudar, pero puede que no sea totalmente posible garantizar que no se filtrarán datos.
¿Importa? Lo que es más importante es si el ISP puede escuchar en cualquier tráfico, no puedo imaginar que los beneficiaría de ninguna manera, por lo que el riesgo es probablemente muy bajo. Sin embargo, existe la posibilidad.
Lo que podría ser una mejor opción sería colocar un proxy de terminación VPN. Dicho dispositivo actuaría como un proxy que canalizaría todos sus datos a través de un túnel VPN y, por lo tanto, el ISP no podría ver ningún tráfico sin cifrar. Un enrutador decente como el Ubiquity EdgeRouter Lite le brindaría esa capacidad.
De hecho, un enrutador interno no es una arquitectura poco común cuando se usa banda ancha de alta velocidad (> 8M, por ejemplo, Fiber To The Cabinet) ya que el ISP suele colocar un "módem", a veces denominado "puerta de enlace residencial" . Lo que realmente es un enrutador con una conexión telefónica ascendente y Ethernet descendente. Usted conecta su propio enrutador (o el ISP) a la conexión Ethernet y el enrutador "marca" la dirección del ISP para conectarse. La puerta de enlace normalmente está bloqueada y no puedes ver nada en ella ni hacer ningún cambio. En este caso, puede elegir si desea utilizar o no una VPN. Si no lo hace, el ISP podría detectar su tráfico y resolver que tiene varias máquinas, pero no es probable ser más específico.