NO meu caso não era questão de segurança pois o cliente faz o login normalmente e navega normalmente. O que aparece no registration do mikrotik ora é o ip da Wan ora o IP da lan da CPE como Cliente Station roteado.
Como a rede tem criptografia WPA2 com 64 caracteres cada um mais louco que outro é praticamente impossível quebrar a chave. Então não dá para dizer que é invasão ou falha de segurança. É "piração" mesmo de algumas CPEs que ficam oscilando entre o IP da Wan e o IP da Lan.