На MikroTik в ip/dns прописать AdGuard DNS. Динамических DNS быть не должно.
Поставить галку Allow Remote Requests. Клиентам в сеть через DHCP отдавать в качестве DNS-сервера адрес MikroTik. Убедиться в том, что они получили то, что надо.
В ip/routes на MikroTik создать маршруты на адреса AdGuard DNS через туннель.
На VPN-сервере настроить src-nat для соединений из туннеля, чтобы доходили ответы.
Вычистить DNS-cache везде на всякий случай.