Merci Fenrir pour ce super tuto.
J'avais suivi le tuto VPN (car un peu rouillé sur ce sujet également) et le montage de mon L2TP/IPsec bloquait sur le DNS (mais openVPN était d'accord et au final je me suis aperçu qu'il utilisait le DNS local au lieu du distant) : forcément j'avais pas autorisé les sous-réseaux privés à utiliser le NAS comme DNS et la propagation de mes zones DNS (en interne) ne correspondaient à rien.
Après quelques recherches du comment et pourquoi, j'aurais dû commencer par les bases. Sachant qu'il est vrai que j'avais un peu configuré le DNS à l'arrache (et surtout j'avais pas dû toucher à conf d'un DNS depuis 2007 ou 2008) quand j'ai voulu bypasser celui de bouygues. J'avais complètement oublié les type A, CNAME, NS etc, mes bases et surtout que des compétences en réseau ça s'entretient un peu plus qu'une fois tous les 10 ans