Можно попробовать так:
Нужно заносить те IP источников, которые предварительно постучались на определенный порт микротика в какой-нибудь AddressList, пребывание в этом листе должно быть временным, например, пару часов.
Потом настраиваете правила Firewall в соответствующих разделах - для Источников, находящихся в этом AddressList - действие Accept на микротик, а для отсутствующих в этом листе - правило dst-nat на 192.168.1.15
Теперь, если просто извне обратиться на микрот, отработает ваш апач, но если предварительно пощупать порт (например, telnet mynetname.net 5555) вы будете попадать на SSTP