Что вам действительно нужно сделать, так это настроить отдельные зоны DNS для внутреннего и внешнего потребления, где внешнее представление является подмножеством внутреннего представления и содержит только имена, которые относятся к записям A в общедоступном IP-адресном пространстве, доступном из общедоступного Интернета ( брандмауэр), а внутреннее представление имеет все и доступно всем бизнес-пользователям, которые находятся во внутренней сети, включая тех, кто использует VPN, чтобы «проникнуть внутрь». Это очень часто и может быть сделано с «представлениями» на одном DNS-сервере, или у вас может быть два разных набора DNS-серверов, все зависит от того, что вы используете для службы DNS.
Google - твой друг, ищи "разделить DNS и BIND". Много примеров / как там.