ironsf

Копайте в сторону layer 7 в firewall. Пример ingrid.net.ru/blog/65

Не понятно с какого мк вы пытаетесь пробросить воип трафик. Советую нарисовать на бумаге как все устроено и как вы хотите что бы работало. И нам легче понять, и может быть вы сами поймете что упустили. :)

Рекомендую SXT Lite 5 routerboard.com/RBSXT5nDr2
Можно выжать до 90 мбит, если повезет то и больше (при прямой видимости).

На стороне мк в настройках /ipsec peer параметр exchange-mode=main l2tp пробовали ставить?

Я понимаю что поздновато пишу, но вдруг кому-то пригодится. :)
В микротике нужно в firewall nat перед правилом masquerade создать правило accept:
пример
ip firewall nat add src-address=192.168.88.0/24 dst-address=192.168.0.0/24 action=accept

причем это правило должно быть обязательно перед правилом ната (маскарадинга). Смысл в том, что пакеты идущие из локальной сети 192.168.88.0/24 в сеть впн 192.168.0.0.24 не будут доходить до правил ната, т.к. он будут просто проходить по правилу accept.