Клёвый Админ

Два шлюзе вам совершенно не за чем. Маршрутизацию и балансировку нужно осуществлять внутри одной железки, в случае с iptables или routeOS (аналогичное есть в Cisco, juniper, но там я не знаю точной реализации - гуглите) вам необходимо следующее:
1. Есть одна железка - она шлюз поумолчанию для локальной сети.
2. На железке есть два провайдера
3. Для обоих провайдеров настраиваете NAT
4. Маркируете трафик входящий через каждого провайдера своей меткой
5. Создаёте для каждого провайдера отдельную таблицу маршрутизации со своим шлюзом провайдера для маршрута 0.0.0.0/0
6. Направляете исходящий промаркированный трафик (ответы на входящие запросы из п.4) на соответствующие таблицы маршрутизации.
7. Для исходящего трафика делаете правило балансировки между шлюзами (для режима A-A) или переключение маршрута по-умолчанию (для режима A-P) на основании, например, пинга до 8.8.8.8
8. Порты выставляете и там и там, они заработают через обоих провайдеров если юзать пп.4-6

Две железки можно использовать только если между ними есть VRRP и они делят общий IP адрес локальной сети и этот айпишник - шлюз для неё. В этом случаето можно передавать роль мастера (активной ноды) и маршрутизировать через них, но на практике сводить две железяки (если они не умеют автосинхрон) довольно проблематично.

Спросите, если что-то непонятно.

Коллега, покажите секцию Ipsec из MT (убрав приватные данные, разумеется), похоже таймаут чего либо или же ошибка в конфигурации \ баг.

Так же самостоятельно проверьте msdn.microsoft.com/library/azure/jj156075.aspx#BKM... все параметры по первой колонке.

создать разрешающее правило для http\https и запрещающее для всего остального.

Есть настройка интерфейса max-station-count
Но, имхо, лучше на один передатчик не сажать больше 20 клиентов.

Держать 200 тунелей - нужна мощная железяка и всё равно будут разные проблемы.
Лучше авторизировать по АД + радиус (NPS роль в виндовс серверах)

У меня был похожий кейс, решил я его так:
1. Микротик был шлюзом для всего трафика, были политики и тыды.
2. Часть трафика, в том числе http, https заворачивались на squid
3. На сквиде (cборка pfsense) была авторизация через виндовую реализацию Raduis - роль NPS, плюс всякие резалки контента, антивирус и прочее
4. У сквида был шлюз - микротик, который пускал трафик дальше.

Т.е. сквид не был как бы посередение между клиентами и микротиком, а был "сбоку"и трафик я туда заворачивал, так и проще и управляемее и сквид если что перезапустить можно.

Можно поднять несколько тунелей до сервера и объеденить их в бондинг (тогда балансировка может быть по-пакетной ) =) Должно сработать!