Сначала бы привести в порядок существующую сеть, сотрудников уже не мало, пора бы AD завести. С Wi-Fi c фильтрацией по MAC-адресам не комильфо, говорю как человек, который этим пользовался. Я бы сначала сделал AD, а потом настроил EAP. Это безопаснее WPA2-PSK, легче обслуживать в плане добавления устройств. Уволили сотрудника? Ок. Выключили учетку, и он больше не логинится, и не надо удалять кучу MACов из ACL (а вдруг у него 3 телефона и 2 планшета, сначала нужно добавить, а потом еще и удалить).
Насчет VPN, тут тоже спасла бы AD. Прикрутить RADIUS, и можно настраивать SSTP, L2TP и PPTP (последнее лучше вообще не настраивать) с аутентификацией в RADIUS. Плюсы такие же как и от EAP.
PS: весь этот функционал вполне хорошо умеет любой Mikrotik, так как ОС там одинаковая на всех моделях (кроме CRS).
PSS: чисто из любопытства, это в какой конторе интернет раздают только "избранным"? Неужто где-то это до сих пор роскошь?