nimbo

я бы подумал в сторону прозрачного прокси на самом тике. правила среза можно выдрать из adblock-листов. насколько это решение рабочее трудно сказать, т.к. всегда срезал всё на оконечке - там оно "гибше" настраивается)) но теоритически разницы особой нет.
замечу что с тиком вам всё равно придётся трафик на прозрачный прокси заворачивать, просто потому что андроид не умеет нормально нативно выпускать через прокси приложения все, например.

пропишите маршрут на микротике такой что 10.0.0.0/24 у вас должно идти через первую cisco (как гейт). и всё. ну и почстите фаер, потому что не совсем ясно зачем фаеру отрабатывать правила для локал трафика. это задача исключительно для маршрутизации.

1. по ip-адресам папки открываются?
2. если нет то попробуйте telnet'ом на порты постучаться - будет что-нибудь или реджект?

стоп!
1) под win точно есть нативный OpenVPN, потому что сам себе такое делал))
2) под iOS можно уточнить, сам не пользовал, т.к. пропользовался iPad'ом месяц и сдал обратно ибо фу;
3) секьюрность и всепролазность OpenVPN малость выше, да и устойчивость ко всяким EDGE-подключениям выше, нежели у того же l2tp + есть параметр keep-alive как раз чтоб не рвать связь.

потратьте один выходной и сделайте всё "как надо".
1) как минимум стоить поднять dhcp - упростите себе админство новых узлов и хостов;
2) разобраться в проблеме с модемом и микротиком - рассказывайте в новом вопросе, что за модель тик и модема и при каких условиях проблема возникает, больше конкретики, гадать на гуще нет смысла;
3) чем больше вы мудрите с сетью, тем сложнее будет её поддерживать и администрировать. убирайте из неё лишние шлюза и прочее добро. смотрите в сторону производительности и отказоустойчивости лучше. например, место linux можно поставить router os микротиковский на машину и сделать отказоустойчивый шлюз через VRRP - здесь можно почитать

отвечаю на ваш вопрос (если лень всё менять и вообще пофиг на себя и клиента) - подключить linux-машину к интерфейсу микротика, выделить его из свитча в ещё один wan и пустить випов через него.

научитесь сразу делать нормально без половинных решений, без скруток и прочего добра, потому что всё временное остаётся навсегда и работает хреново, создавая кучу головной боли.

а зачем два тунеля если можно один, но через активный в данный момент линк? 0_о
а вы не пробовали просто дистанс на 0.0.0.0 для isp1=1 для isp2=2 делать? почему спрашиваю - потому что не вижу как вы получаете конкретно интернет - pppoe\eth чистая статика или серый ip и т.п.

а почему не eoip по l2tp? туда бы и vlan'ы попробовали отправить.

не совсем понял зачем так сделано. не легче просто distance для pppoe маршрута выставить 2? абсолютно точно я бы прописал статический маршрут до вашего vpn-сервера, указав фэйс pppoe + убрать роутинг марк. т.о. у нас весь трафик шёл бы через vpn, который шёл бы через pppoe. если я, конечно же, всё правильно помню)
либо оставляем "вот это всё", но тогда показывайте как настроен фаерволл, манглы и прочее, что лежит в ip->firewall
зы: я правильно понимаю, что провайдер выдаёт вам ip (может личный кабинет или ещё что-то в этом духе), но для нормальных интернетов вам надо ещё и pppoe поднять?.. 0_о
ззыы: вообще ещё бы скрин интерфейсов, ну или просто вывод консоли\конфига с тем, что у вас там наконфигурировано.