Ich würde zusätzlich noch mit Zugangsprofilen arbeiten und nur dem Pi-hole und anderen Geräten die dank hardcodiertem DNS Probleme machen direkt den Zugriff auf DNS ermöglichen.
Heisst, du legst unter Internet-->Filter-->Listen-->Netzwerkanwendungen einen neuen Eintrag DNS an:
Dort Port 53 und 853 rein, ruhig auch TCP und UDP
Dann sperrst du diese Anwendung im Zugangsprofil Standard und packst dort alle deinen normalen Geräte rein, in das Profil Unbeschränkt kommt dann eben der Pi-hole und die problematischen Geräte rein...
Somit kann kein normales Gerät mehr ohne den Pi-hole DNS-Anfragen auflösen...
Möchtest du noch einzelne IP's blockieren, z.b. den hardcodierten GoogleDNS (8.8.8.8) auf Androiden, legst du eine statische Route in der Fritz!Box wie hier an: