Держать 200 тунелей - нужна мощная железяка и всё равно будут разные проблемы.
Лучше авторизировать по АД + радиус (NPS роль в виндовс серверах)
У меня был похожий кейс, решил я его так:
1. Микротик был шлюзом для всего трафика, были политики и тыды.
2. Часть трафика, в том числе http, https заворачивались на squid
3. На сквиде (cборка pfsense) была авторизация через виндовую реализацию Raduis - роль NPS, плюс всякие резалки контента, антивирус и прочее
4. У сквида был шлюз - микротик, который пускал трафик дальше.
Т.е. сквид не был как бы посередение между клиентами и микротиком, а был "сбоку"и трафик я туда заворачивал, так и проще и управляемее и сквид если что перезапустить можно.
