В ip - firewall - raw (хотя в манах в гуглах почему то используют то mangle то filter) можно сделать правило в output c контентом authentication failed, чтобы вылавливать попытки авторизации к l2tp
Или попытки авторизации через winbox/ip firewall raw add action=add-dst-to-address-list chain=output content="authentication failed" dst-address-list=Block protocol=udp src-port=1701
Есть ли контент для попыток авторизации к sstp, нагуглить не вышло/ip firewall raw add action=add-dst-to-address-list chain=output content="invalid user name or password" dst-address-list=Block protocol=tcp src-port=8291
?