Keffer

Потому что подключение идет по ДНС имени, нужно как минимум руками чистить кеш ДНС, чтобы винда\клиент могли понять, что ip у имени изменился. Ну или настраивать сразу короткий кеш, в течении 5-10 минут TTL ставить.

Занести всю сеть всего датацентра CDN будет проще. Так или иначе все эти десятки поддоменов ведут в одну сеть или несколько больших сетей.

чтоб удалённые пользовали не загружали центральный mikrotik, а пользовались своим каналом.

Снять одну единственную галочку на впн клиентах - "Использовать основной шлюз в удаленной сети"

В случае с SSTP там все не просто а очень просто. Генерится CA. Генерится серт с 1 полем TLS server, cname должно обязательно совпадать с тем, что будем забивать в клиенте для подключения. Подсовываем этот серт sstp серверу микрота. Ну и потом делаем экспорт CA без закрытого ключа, и в винды его импортируем в корневые серты. Все работает.