Если тупо в лоб - то так:
/ip firewall filter add chain=forward src-address=192.168.1.170 dst-address=!192.168.1.195 action drop comment="Block for VPN client"
Данным правилом вы запрещате клиенту доступ ко всему, кроме адреса этого ресурса. Если клиент -- винда, то в инет она тоже в этот момент ходить не сможет, ибо прописывает для себя впн шлюзом по умолчанию. Тогда ещё можно в правило дописать
out-interface=!ether1-wan, это должно помочь. Не забудтье поменять
имя интерфейса на актуальное для Вашего роутера.