Wenn nslookup von intern die Domain nicht auflöst (entweder auf die interne 10er IP oder auf Deine WAN IP), dann kann es ja auch nicht funktionieren. Wenn das sonst funktioniert, ist es offensichtlich so, dass der externe DNS verschattet wird oder nicht erreichbar ist. Hast Du eventuell einen lokalen Alias oder wird per DHCP eine Adresse registriert?Das hat dann mit NAT Reflection erst einmal nichts zu tun.
Bei der Registrierung per DHCP kann viel schiefgehen - wenn Du da z.B. mal eine VM verschiebst, bekommt sie eine neue MAC und damit eine neue IP und dann hast Du zwei Einträge. Oder Du veränderst einen dynamic lease auf static, das klappt auch nicht, weil dann noch die alte Lease-IP für den DNS-Eintrag gilt.Im Unbound kann man in /var/unbound/dhcpleases.conf sehen, was für die dynamic leases drinsteht und /var/unbound/host_entries.conf für statische Einträge.Ich würde für solche Maschinen statische IPs (keine Leases) vergeben, da gibt es weniger Stress. Und dann kann im DNS einen Alias vergeben - im konkreten Fall müsstest Du das ja nicht einmal, weil die im öffentlichen DNS drin sind.