ты вот так сделал?
https://forum.mikrotik.com/viewtopic.php?t=171665
Есть способ на основании SNI, но он не работает если используется TLS1.3 где скрыт SNI и это работает только с http трафиком. Если это чистый TCP то не отработает.
Тут нужен прокси или вытягивать по номеру AS целые сети или страны и добавлять их в марштуры.
Другого способа нет.
Когда в firewall ты указываешь в address доменное имя, мироктик в тот же момент переворачивает его в IP, т.к. firewall не может получить доменное имя из TCP пакеты от ПК (если это не TLS, SNI выше я уже описал почему это не всегда работает). Соответственно твой вариант тоже работает на 50% т.к. у некоторых сайтов может быть 2 и более IP или это вообще может быть CDN, и если IP который получил mikrotik клиент разные то твое правило не отработает.
Если прикинуть, то можно попробовать реализовать следующую схему. Написать скрипт который будет мониторить запросы DNS на микротике и если они попадают под FQDN шаблон то динамически создавать маршрут, но я не встречал такой реализации и не могу утверждать что такое возможно.
