под такие вопросы лучше создавать отдельные темы (даже не одну, наверное)
и проблема может быть уже на самом старте: OVPN-клиент в RouterOS не поддерживает, насколько знаю, авторизацию только по ключам (необходимо имя пользователя + ключ). ещё он не поддерживает режим UDP (только TCP), что тоже может быть важно
чтобы трафик не выходил к провайдеру вообще - достаточно либо не добавлять маршрут через провайдера, либо запретить в фильтре файрвола forward в интерфейс провайдера
по умолчанию пользователи l2tp друг друга и так видят, если это не запретить правилами фильтра файрвола
ну и далее по тексту