Wie korrekt einen FQDN (ext.) auf internen Host auflösen?

Moin zusammen,

welche Einstellungen muss ich in Pi Hole vornehmen, damit eine externe Domäne (cloud.example.com) von Clients in meinem LAN (192.168.0.0/24) auf einen Server in meinem LAN (Host: service, IP 192.168.0.3, fd00::3) aufgelöst wird? Pi Hole (Host: dns, IP 192.168.0.2, fd00::2) ist als DNS im DHCP-Server der FritzBox (192.168.0.1) eingetragen.

Hintergrund ist identisch zu diesem Thread, ich betreibe diverse Web-Sites (u.a. Nextcloud) auf einem internen Server. Im externen DNS wird der FQDN (cloud.example.com) mittels CNAME Record auf den MyFritz-DynDNS Eintrag der FritzBox (myhost.myfritz.net) aufgelöst. Der Zugriff auf Nextcloud außerhalb meines LAN funktioniert (auch für SSL).

Die IP des lokalen Nextcloud-Servers ist als Local DNS -> DNS Record in Pi Hole eingetragen (cloud.example.com -> 192.168.0.3, fd00:3). Die Windows PCs und Android Geräte in meinem (W)LAN können HTTPs Verbindungen zu meinem Nextcloud-Server aufnehmen.

Mit den iOS Geräten in meinem WLAN gibt es hingegen Probleme: Bei Aufbau der verschlüsselten Verbindung zum Nextcloud-Server kommt es zu Zertifikatswarnungen. Im Zertifikat steht als Subject/Common Name nicht der FQDN des Nextcloud-Servers (cloud.example.com), sondern der DynDNS Name der Fritzbox (myhost.myfritz.net). Offenbar wird nicht der A-Record des Local DNS verwendet, sondern der CNAME Record des externen DNS.

Ein erster Versuch unter Local DNS -> CNAME Records einen CNAME Eintrag für cloud.example.com -> service.fritz.box aufzunehmen scheiterte. Zwar gaben die iOS Geräte danach Ruhe, aber die Windows PCs und Android Geräte wollten danach keine Verbindung mehr aufbauen.

Anbei mal ein Auszug aus pihole.log, wenn ein iPhone nach cloud.example.com fragt:

Sep 13 12:02:53 dnsmasq[6331]: query[A] cloud.example.com from 192.168.0.30
Sep 13 12:02:53 dnsmasq[6331]: /etc/pihole/custom.list cloud.example.com is 192.168.0.3
Sep 13 12:02:53 dnsmasq[6331]: query[AAAA] cloud.example.com from 192.168.0.30
Sep 13 12:02:53 dnsmasq[6331]: /etc/pihole/custom.list cloud.example.com is fd00::3
Sep 13 12:02:53 dnsmasq[6331]: query[MX] cloud.example.com from 192.168.0.30
Sep 13 12:02:53 dnsmasq[6331]: forwarded cloud.example.com to 192.168.0.1
Sep 13 12:02:53 dnsmasq[6331]: reply cloud.example.com is <CNAME>

Wie kann ich das ändern bzw. wie komme ich dem Problem auf die Schliche?