Mais tu as tout à fait raison.
La solution Mikrotik est dans ton cas la meilleure indéniablement. Il faut aussi avouer que tout n'est pas parfait (support qui fait un "èfe hue c'est ka" quand on lui demande le support du 2.5G, bugs sur les switches rules...)
L'authentification Cloud est facultative encore une fois, moi je l'active sur des sites non stratégiques, cela apporte un confort de configuration inégalé. Tu branches, ça remonte, basta. Chaque connexion est soumise à une double authentification via code de sécurité qui change toutes les 30 secondes.