Через dst-nat
Выполняем в консоли:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=172.16.0.2 to-ports=80 protocol=tcp \\ src-address-list=negative dst-address=0.0.0.0/0 dst-port=80
src-address : кого перенаправлять.
to-addresses : куда перенаправлять.
Через proxy (https редирект)
В address-list negative клиентов вносит микротик при авторизации.
В address-list negative_allowed вносим разрешённые адреса вручную.
Запрещаем трафик для клиентов с негативным депозитом
/ip firewall filter add chain=forward action=reject reject-with=icmp-network-unreachable \ protocol=tcp src-address-list=negative dst-address-list=!negative_allowed log=no log-prefix="
Разрешаем DNS
/ip firewall nat add action=masquerade chain=dstnat dst-address=8.8.8.8 dst-port=53 protocol=tcp src-address-list=negative
Перенаправляем трафик на proxy
/ip firewall nat add action=redirect chain=dstnat dst-port=80 \ protocol=tcp src-address-list=negative dst-address-list=!negative_allowed to-ports=8123
Включаем proxy
/ip proxy set enabled=yes port=8123
Включаем редирект
/ip proxy access add action=deny local-port=8123 redirect-to=https://172.16.0.2/