Estou meio perdido o que vc disse amigo, teria como exemplificar isso?
Versão Imprimível
Vou tentar te explicar, provedor tem uma rede 172.20.20.0/24 (Servidor e RB´s), servidor onde recebe a conexão (Link), cria-se um servidor PPTP (VPN) que dará um ip da mesma rede interna do provedor ex. 172.20.20.150, as rb´s somente aceitam a conexão winbox vindas do range 172.20.20.0/24, as rb´s em bridge, com regras em filters (da bridge), uma para permitir pppoe-discovery e outra pppoe-session, e outras duas regras permitindo conexões de 172.20.20.0/24 (tanto dst como src), e por fim uma outra bloqueando broadcast, mas especificando as interfaces wlan ( dos clientes) como in-interface, neste esquema você só acessará as rbs tendo um ip do tipo 172.20.20.0/24 (tanto externamente, pela vpn) quanto pela rede interna, e tera uma comunicação "limpa" de broadcast entre os pop´s, o bacana é que se você estiver em algum lugar fora e logar via vpn, você acessa suas rb´s, servidores (proxy linux, mk) tudo pelo ip da rede interna, tendo mais segurança externa quanto protegendo a rede dos próprios clientes (espertinhos).