Лучше конечно заморочиться с openvpn, пусть в микротике он и реализован костыльно, но настраиваться это будет один раз. Надёжно, просто, безопасно. Плюс если пускать по 443 порту (да даже и не по 443, но вдруг всё вообще худо), от обычного SSL трафика всякие эти ваши DPI у провайдера не смогут отличить и чудить не станут.
А в pptp есть такая дыра, которая позволяет дешифровать трафик чуть ли не real time, о том как, можно в интернете почитать.