A resposta curta, IMO, é que seus clientes internos devem apontar apenas para seu servidor interno e nada mais. Se você tiver muitos clientes internos, precisará configurar um segundo servidor.
Seu servidor DNS provavelmente deve estar apontado para si mesmo apenas nas configurações do cliente. Em seu software de servidor DNS, você pode configurar encaminhadores se desejar que solicitações não atendidas por seu servidor interno sejam direcionadas a outro resolvedor, em vez de iniciar uma pesquisa recursiva a partir da raiz.
A menos que seu roteador esteja fazendo filtragem de conteúdo, suspeito que as configurações de DNS não tenham importância. Os roteadores de baixo custo não fazem muito com o DNS. Se o seu roteador precisa de DNS e precisa ver sua visualização interna, você deve configurá-lo para apontar apenas para o (s) servidor (es) DNS interno (s).
Para explicar por que os clientes internos devem apontar apenas para o DNS interno.
Quando um cliente DNS faz uma pesquisa, ele consulta um de seus servidores DNS, quando uma resposta é recebida, positiva ou negativa, o cliente é feito. Outro servidor DNS configurado só será usado se o primeiro não responder, ou responder com uma falha.
Aqui está um cenário:
- Se você tiver uma zona em seu servidor interno e em nenhum outro lugar
- o seu cliente está configurado para apontar tanto para o servidor interno quanto para algum servidor DNS público
Se o seu cliente fizer uma solicitação para um registro interno e o servidor externo responder primeiro, o cliente acreditará que o registro não existe e informará uma falha ao usuário. Se o servidor interno responder primeiro, o cliente ficará satisfeito.
Nesta situação, é provavelmente melhor apontar apenas para o servidor interno, dessa forma você só pode obter uma resposta válida.