Gansterito

Самый правильный способ - потребовать провайдера отключить этот функционал.
Отвечая на ваш вопрос - через /tool fetch можно отправить в том числе и POST запрос с произвольными полями. Если форма статическая (без капчи, галочек и прочего) - то проблемы нет.
Другое дело - распознать перенаправление. Тут, пожалуй, придется поэкспериментировать - посмотреть как сделана переадресация на страницу кэптив портала и подогнать логику под нее.

Добавить на DLINK используемые VLAN и прописать их на портах в сторону Mikrotik-ов в режиме "tagged".
Либо все порты DLINK в сторону Mikrotik настроить в режим TRUNK (не уверен, что в DGS-1100 есть этот режим).

Выше уже написали, что нужно сегментировать сеть. Эта задача и стратегическая (будете решать после устранения проблемы) и тактическая (ограничение распространения зловреда).

Сегментировать нужно заменой коммутаторов на управляемые с функционалом vlan, acl, dhcp snooping (на перспективу), loopback detection. Закупить коммутаторов на ~ 6000 портов можно одним днем (это порядка 120 коммутаторов доступа не считая агрегацию и маршрутизатора). Выйдет все же дешевле финансовых и имиджевых потерь от простоев.

Как именно нужно сегментировать - можно определить только по месту. Может быть сразу отсечь сегменты, не занятые в оперативной деятельности компании, отправив туда 1-2 человек для зачистки антивирусом, а основные силы бросить на приведение в порядок сети. Может быть есть смысл "заблокировать всё" и открывать доступ к тем или иным ресурсам по мере возникновения проблем. Из 15 админов на месте можно оставить 5, а остальных (35) отправить разбираться у кого чего не работает. Все общение должно быть сведено к:
- Володя, это Сёмен, IP адрес 10.156.2.25, MAC-адрес заканчивается на 13-AC-F4 нужен доступ к 10.43.1.67, это рентген в кабинете 523
- Готово проверяй
- Да, есть, сделай тоже самое для XXX, YYY, ZZZ...

ТП какого уровня?
1ый уровень - там достаточно стрессоустойчивости и терпения.
2ой - базовые знания сетей,
выше - глубокие знания сетей, оборудование разных вендоров и т.д.

У Вас сети 10.10.1.0/16 и 10.10.5.0/24 пересекаются. Точнее, вторая входит в состав первой. Это чревато....
Можно обойтись одним портом на Mikrotik в сторону локальной сети. В этом случае на интерфейсе будут висеть две подсети, а все устройства в локальной сети не будут изолированы на L2-уровне (все будут находится в одном сегменте Ethernet). Но это не красиво (фу-фу-фу).
Лучше, конечно, поставить управляемые коммутаторы, разделить сегменты по разным VLAN, сделать DMZ (если в нем есть необходимость), настроить Loopback detection, DHCP spoofing, политики безопасности, политики QOS и т.д., и т.п.

Размер TCP окна укажите побольше.

Как часто происходит?
Что в логах астериска до сегфолта? Включите максимальное логирование в /var/log/asterisk/full, включите в системе создание core-файлов при падении приложений, дождитесь воспроизведения.