Hey Leute, ich habs rausgefunden, daher hier als Tip, wenn mal jemand über das selbe Problem stolpert:
Ich habe einen Unbound recursive DNS und Adguard auf einem Pi und den in den DHCP Options meiner Netze eingetragen. Damit funktioniert das domainbasierte regeln des VPN Verkehrs nicht zuverlässig. Für die Netze ist Unifi jetzt wieder der DNS, den Pi habe ich als DNS für die WAN Verbindung hinterlegt.
So fragt Unifi den Pi nach Auflösung und die Regeln funktionieren. Leider macht dsas jetzt nur noch Unifi, dh auf dem Adguard sehe ich auch nur noch den UDR als Client. Das ist unschön, da ich jetzt nicht mehr sehe, welches Gerät geschwätzig ist, aber immerhin funktionieren die VPN Regeln.