Obsession

Создайте группу которая под падает под правило блокировки или не подпадает под правило блокировки и добавьте туда пользователей. И уже в Firewall блокируйте или разрешайте этой группе доступ к соц. сетям.

Статику можно не давать, а в настройках IP - DHCP Server - Leases сделать нужные записи статическими (пкм - make static).

L7 можно вообще не использовать, обновите прошивку до последней стабильной версии и используйте IP - Firewall - Adress list где добавьте адреса соц. сетей по их доменным именам, микротик автоматом создаст список IP принадлежащей этой соц. сети.

rb-750 и "клиентов ... ибо их будут сотни" как то не вяжется. Реализация тиковского ovpn желает оставлять лучшего ибо нет udp и lzo и скорость будет ужасающей но зато пинги будут лучше чем на wrt прошивках.
Теоретически можно попробовать следующее(не уверен что сработает):
1) На тике настраиваете сервер ovpn в режиме ethernet
2) Для тех кто будет подключаться массово по 1 ключу\паролю делаете единую учетку и раздаете адреса из пула1(к примеру 192.168.51.0/24) для них. В фаирволе рубите любые конекты(к примеру ваша lan 192.168.50.0/24) кроме нужного до "одного ПК"(к примеру 192.168.50.100).
3) "Другие клиенты которые должны видеть всю сеть", делаете уникальные учетки для них и ручками назначаете индивидуальные ip каждому но в пределах единого пула(к примеру 192.168.52/0.24) Фаирволом естественно рубить уже ничего не надо для них.

Фаирволл в любом случае придется задействовать иначе будет дыра в виде того что шибко умный сможет прописать роут на подсеть локалки и получить к ней доступ. Фаирвол в тиках очень приятный и разобраться в нем не составит никакого труда совсем(во всяком случае в нем в разы проще разобраться с нуля чем iptables).

Всё нормально заработает.
Из нюансов PowerBeam нежелательно располагать друг за другом на одной линии от БС.