Mikrotik+L2TP+IPSec+AD=смена паролей?

Для такого случая можно поднять AD Self Service...бесплатная штука если пользователей до 50чел.
Просроченный пароль будут менять самостоятельно через WEB. Есть вопросы по безопасности, но не всегда они стоят на первом месте.

Как пробросить порт в MikroTiK'е, используя нескольких провайдеров?

ruskella: по input/output верно. Это трафик для/от самого Микротика.
forward - да, это тот трафик который проходит через маршрутизатор, но не предназначен самому маршрутизатору.
Я бы размещал так: правила через которые ходит бОльшее кол-во трафика занимают более высшую позицию. (1,2...)
по моему в версиях 6.32 и выше можно маркирование делать просто в цепочке forward и не обязательно выбирать prerouting. Prerouting назначается потому что трафик идущий от клиента сначала должен получить метку маршрута, а только потом попасть в таблицу маршрутизации.