Ингвар, В netflow ты увидишь IP адреса и протоколы. В данном случае эта инфа бесполезна. Если надо просто понимать на какие саты ходят пользователи, то можно контролировать DNS (например поставить AdGuard).
В настройках микротика IP/DHCP указано отдавать адрес провайдреа.
Из твоего описания. DNS работает, но клиенты по DHCP получают DNS провайлера, адолжны получать DNS AD.
Т.к. IP адреса раздает микротик, то на нем надо и изменить эту настройку.