Hui. Wow. mhm. ähm.
Also du hast aktuell deine Domains bei Netcup liegen mit "externen" DNS Server der von desec.io bereitgestellt werden, korrekt?
Den Teil mit du willst deinen SPoF weg haben, irgendwie noch verstanden, aber dein Implementationsdesign ist bisschen wirr.
PowerDNS finde ich persönlich eine schönere Wahl, weil:
- mächtig
- schlank
- api
Im Grunde kann ich die Frage mit deinen Router nur semi beantworten, weil dein Design noch nicht ganz klar ist, aber. Du würdest im Endeffekt einfach nur einen DNS Server bei dir Zuhause betreiben und deinem Router sagen das dieser benutzt werden soll. Der Rest muss dann von deinem DNS Server beantwortet werden.
Im Endeffekt habe ich es bei mir so. Meine Domains liegen bei einem Domain Anbieter in Deutschland und ich verwende seine DNS-Server für die öffentliche Seite. Für die Interne Seite habe ich aktuell zwei Pi-Hole Instanzen laufen die per DHCP verteilt werden, oder per Hand statisch eingetragen sind. Zu dem betreibe ich das ganze als Split-DNS. Bedeutet das du intern anderst aufgelöst wirst, als extern. Entsprechend nimmt man bei mir auch unterschiedliche Wege zu seinem Ziel.
Mein Setup werde ich aber noch umbauen, weil Pi-Hole ehr ein rudimentärer DNS Server ist wenns um eigene DNS Records geht. Da werde ich auf PowerDNS schwenken. Der Auth Server wird dann meine Internen Zonen halten. Vor dem steht dann der Recursor der bei internen Anfragen auf den Auth geht und bei Externen Anfragen das Pi-Hole frägt. Vielleicht mache ich aus jux noch einen dnsdist davor aber das wäre dann schon bisschen übertrieben.