A razão pela qual o DNS do split horizon é configurado é quase sempre porque um serviço interno não pode ser alcançado fora da LAN. Por exemplo, os controladores de domínio do Active Directory que também mantêm o DNS interno. Se todos os seus serviços são planejados para serem acessados externamente, o DNS dividido não é necessário, estritamente falando. Descarte qualquer uso de DNS dividido em seu design até encontrar um motivo seguro para usá-lo.
NAT / tromboneamento de gancho de cabelo seria como qualquer pessoa por trás do seu firewall alcançaria seu servidor, o que é aceitável. A maior desvantagem do hairpinning é que ele "desnecessariamente" envolve seu mecanismo SPI e qualquer outra coisa sendo executada no firewall, como serviços UTM. No entanto, se foi assim que você o projetou intencionalmente, é difícil chamá-lo de "desnecessário" - o TZ 200 pode receber uma quantidade decente de tráfego e duvido muito que um serviço CalDAV / CardDAV receba milhares de solicitações por segundo rede. =)