Вообще похожу на arp spoof или proxy arp на L3 оборудовании. Если какие-то L3 устройства в сети? Если сетевое оборудование управляемое, то можно легко найти на каком порту этот MAC висит.
Ингвар, В netflow ты увидишь IP адреса и протоколы. В данном случае эта инфа бесполезна. Если надо просто понимать на какие саты ходят пользователи, то можно контролировать DNS (например поставить AdGuard).
В настройках микротика IP/DHCP указано отдавать адрес провайдреа.
Из твоего описания. DNS работает, но клиенты по DHCP получают DNS провайлера, адолжны получать DNS AD.
Т.к. IP адреса раздает микротик, то на нем надо и изменить эту настройку.
show mac address-table
show arp
и
show spanning-tree pvst