Проблема в том, что микротики не умеют ничего, что отличалось бы от обычного «голого» DNS рекурсора, ни инкапсулировать запросы в TLS сессию, ни проверять dnssec, ни хранить статические записи отличные от «А» или «АААА» и и т.п. И лучше задачу резолва возложить на что-то более универсальное.
Также, я не думаю, что VPN получится построить прямо до 8.8.8.8, и уже получается какая-то безопасность «на полпути».
К сожалению, нет. Разве что городить MetaROUTER, но лучше отдельная железка (какая-нибудь raspberry, вполне) с любым линуксовым DNS-сервером и DOT. На худой конец можно просто браузер с DOH.
Также, я не думаю, что VPN получится построить прямо до 8.8.8.8, и уже получается какая-то безопасность «на полпути».