ovpn tcp режим ip, повесить на 443 порт, SHA1-CBC AES-128. если модель вашего тика поддерживает аппаратное шифрование - включаем aes-256 и спокойно спим.
tls-auth вам и не нужно по факту-то...
tls в mikrotik ovpn насколько я помню нет.
ps: вообще если у вас планируются клиенты с Windows на борту - настоятельно рекомендую посмотреть в сторону SSTP. В нём есть свои прелести типа нативной поддержки и меньшего latency.
