Você tem 2 redes conectadas a um roteador (RB951), e o roteador está somente fazendo o trabalho dele, que é justamente rotear pacotes entre as duas redes.

Se você não quer que o roteador faça o trabalho dele, você tem que explicitamente configurá-lo de tal forma. O mais simples acho que seria pegar todos os pacotes vindos da interface onde estão os seus clientes que só terão acesso a internet, e bloquear todos os pacotes com destino para a rede do seu domínio.

Digamos que o cabo com internet seja o Lan1 (não sei se foi isso que você quis dizer), e os seus clientes estejam no Lan2, uma regra nos filtros do firewall para descartar os pacotes com destino para a interface Lan1, quando o endereço de destino for da rede 10.0.0.0/8. A regra seria mais ou menos assim:

Código :
/ip firewall filter add chain=forward out-interface=ether1 dst-address=10.0.0.0/8 action=drop