Имейте ввиду, что узким местом 99% станут имеющиеся микроты - какие именно вы не написали. Провайдерский влан избавляет вас от этой проблемы - трафик шифровать "не нужно".
А так - можно по классике, l2tp+ipsec
По умолчанию в микротиках запрет на хождение трафика между влан не создан, т.е. если трафик таки не ходит - найти и убрать запрещающее правило в файрволле
Раньше это делалось так:
- подключаемся к впн без использования маршрута по умолчанию (у нас появляется доп.сетевой интерфейс)
- в файрволле говорим каким программам на какой интерфейс долбиться
Делал такое на ESET