Nks

С днс вариант, но можно сделать красивше:
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.33 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade

Где LAN это имя интерфейса что смотрит в локальную сеть.
подребней читать тут

Копать в сторону понимания функционирование сети и нат :)

Микротик все заворачивает правильно, просто в данном случае работать оно не будет:

1. Из мира приходит пакет (предположим 8.8.8.8 -> 80.*.*.*), микротик его днатит в локальный адрес (8.8.8.8 -> 192.168.1.33), вебсервер получает запрос от 8.8.8.8 и шлет ответ обратно на микротик (дефолт-роут), микротик проводит пакет обратно по нат и отправляет в мир;
   
2. Если пакет приходит из локалки (предположим 192.168.1.2 -> 80.*.*.*), микротик его днатит в локальный адрес (192.168.1.2 -> 192.168.1.33), вебсервер получает запрос от 192.168.1.2 и шлет ответ обратно в ЛОКАЛЬНУЮ сеть, компьютер 192.168.1.2 не получает ожидаемого ответа от 80.*.*.* а ответ от 192.168.1.33 считает инвалидным, так как не отправлял туда запрос. Соотв. TCP соединение не устанавливается.
   

Если очень хочется именно Натом решить эту проблему, то нужно на микротике сделать еще src-nat 192.168.1.0/24 на 192.168.1.33:80 в адрес микротика (предположим 192.168.1.1). Тогда при получении пакета из локальной сети, микротик будет его дважды натить и посылать на сервер в виде (192.168.1.1 -> 192.168.1.33) и веб-сервер будет отправлять ответ обратно микротику и соединение установится.

Но самый правильный способ это просто резолвить DNS для внутренних хостов на внутренний адрес веб-сервера, а для внешних — на внешний. Тогда внешка будет натится, а внутренние будут ходить напрямую.

Как у вас хранится сессия? Что-то на инициализацию ушло неприлично много времени.