Wenn du auch nicht willst, dass andere die Domain außerhalb auflösen können kannst du es ja wie nebula76 machen und die Subdomains im lokalen DNS Resolver eintragen. Dann können nur Geräte die Subdomain auflösen, die in deinem Netzwerk sind und deine FB als Nameserver nutzen.
Kleine Korrektur dazu: Ich habe in der FritzBox nur den Rebind-Schutz für die entsprechenden Hostnames deaktiviert, damit die FritzBox die gefundenen A-Records des externen DNS-Servers an die Anfrager im Netzwerk zurück gibt. Gehen wir mal davon aus, dass ich den Netcup-DNS nutzen würde. Dann sähe das Setup so aus:
Netcup Nameserver:
A-Record, 10.0.0.2, service.local.example.org
FritzBox:
Namensauflösung über DNS vom ISP
Rebind-Schutz für service.local.example.org deaktiviert
3. Nein, ich will nicht, dass andere die Domain von außen Auflösen können. Mein DNS Resolver ist der Adguard. Dort dan Einträge setzen? Bleibt dann Punkt 2, trotzdem erhalten?
Nur um sicher zu gehen: Willst du, dass andere die Domain nicht auflösen können oder möchtest du, dass andere den Service hinter der Domain nicht erreichen können? Das macht einen Unterschied.
Solange du keine Ports in der Firewall öffnest oder sonst etwas aktiv dafür tust, erreicht niemand von außen deine lokal betriebenen Dienste. D.h. Außenstehende können wissen, dass unter einer lokalen IP ein Dienst läuft, diese Information aber nicht ohne Zugang in dein lokales Netzwerk nutzen.
Wenn du nicht möchtest, dass andere deine Domain auflösen können, darfst du 2 aus deinem Post nicht durchführen. Dann musst die diese Einträge statt dessen in deinem Adguard vornehmen.
Da du sowieso schon lokal Adguard betreibst, sehe ich keinen Vorteil, die Einträge im Netcup-DNS statt in Adguard zu setzen. Die DNS-Challenge für Let's Encrypt funktioniert unabhängig von diesen Einträgen, d.h. du erhältst trotzdem ein gültiges Zertifikat.