Exatamente!

Sempre procuro deixar a rede assim:

1) um roteador ligado na internet. Nele faz NAT e não tem clientes conectados. Esse roteador usa os DNS da operadora e fica com o "allow remote requests".

2) um ou mais roteadores (mk) internos. Neles os clientes se conectam e não há NAT. O DNS do cliente é esse roteador interno. Porém o DNS do roteador interno é o o roteador que faz o NAT e não a operadora.

Dessa forma, caso ocorra algum problema no DNS da operadora, mudo somente os DNS do primeiro roteador. Como os outros "pegam" dele, não preciso mexer.

Espero ter ajudado!
Abraco!
Fabricio