Имейте ввиду, что узким местом 99% станут имеющиеся микроты - какие именно вы не написали. Провайдерский влан избавляет вас от этой проблемы - трафик шифровать "не нужно".
А так - можно по классике, l2tp+ipsec
По умолчанию в микротиках запрет на хождение трафика между влан не создан, т.е. если трафик таки не ходит - найти и убрать запрещающее правило в файрволле
Вроде как микрот торрент-трафик выделять сам не умеет, поэтому обычно маркируется все что нужно и на это ставится высокий приоритет, а на то что не попало ни под какие правила выше - низкий
5GHz затухнет после 1й же стены не из гипсокартона
Как вариант: центральный микротик без вафли и с capsman и в каждую комнату (по необходимости) 5ггц ТД на минимальной мощности
1) сделать перехват пользовательских DNS, чтобы не зависеть от пользовательских настроек
2) в ip dns на микротике поставить адгуард днс, или что вам надо
3) промаркировать DNS трафик в mangle
4) промаркированный трафик пустить в VPN-туннель
Бетонные стены заглушат 5GHz сразу - надо будет в каждую комнату по точке доступа на минимальной мощности + из-за большого числа соседей на 2.4 этот вариант наверняка единственный правильный
