Использование l2tp на роутере более менее безопасно. Так как практически весь интернет зашифрованный.
Но есть рекомендация - на машине переключить встроенный в windows фаервол (смотреть настройки - безопасность) в режим - публичная сеть (по умолчанию локальная сеть в которой находится компьютер и роутер это домашная или сеть предприятия, хз как теперь это называется в windows, они переименовывают эти термины постоянно), потому что владелец vpn сервера будет иметь доступ к вашей локальной сети, а приложения в локальной сети обычно менее защищены, например те же вебкамеры, по умолчанию предоставляют не авторизованный доступ к видеопотоку.
Вообще, правильно задавать вопрос - что может сделать плохого со мной мой провайдер интернета. В случае с VPN таковым становится уже владелец VPN.
Пример атаки (многие браузеры уже защищены, но как то топорно, кажется просто списком популярных сервисов по умолчанию но можно принудительно включить https-везде) - при первом заходе на сервис, без указания http/https будет использован http, обычно современные веб приложения тут же перенаправляют запрос на https версию сайта, но провайдер может отключить это, подменив http трафик (он не шифрован) и атакуя пользователя, подменяя содержимое веб сайта и читая всю информацию.
