левый трафик

recursion no;

:-) кури доки.

если сделать recursion no то трафик вообще перестаёт идти.

options {
........
allow-recursion {your_internal_net/24; 127.0.0.1/32; };
}

есть такая опция

Значит это не "странные" запросы, а запросы ваших клиентов.

> этих днс серверов нигде у меня не прописано.
А их и не должно быть прописано. При включенной рекурсии ваш dns сервер сам опрашивает другие dns сервера в поисках заданного имени. Достаточно, чтобы прописанными были только корневые.

> спрашивается какого фига?
Ну так "recursion yes", вот и идут запросы. А слать их может как клиентская винда, так и различные вирусы (не говоря уже о нормальном софте).

> но смотрит только внутрь локалки.
То, где он слушает (ждет клиентские запросы) никак не влияет на то, куда он будет посылать запросы (посылать свои запросы для удовлетворения поступивших клиентских).

> набегает относительно большой лишний трафик.
Значит:
1) выключить рекурсию или
2) ограничить список allow-recursion или
3) просить клиентов не посылать сильно много dns запросов.

Включите логгирование клиентских запросов и посмотрите кто чего спрашивает:
logging {
category queries { default_syslog; };
...
}

на рекурсию идут сети: 127/8; 172.16/12; - клиентские адреса впна на инет 192.168/16; - адреса локалки

в логах стало: May 29 19:32:04 localhost named[14700]: lame server resolving '186.177.226.194.in-addr.arpa' (in 'arpa'?): 202.12.27.33#53 May 29 19:32:04 localhost named[14700]: lame server resolving '10.0.16.172.in-addr.arpa' (in 'arpa'?): 192.228.79.201#53 May 29 19:32:04 localhost named[14700]: lame server resolving '186.177.226.194.in-addr.arpa' (in 'arpa'?): 198.32.64.12#53 May 29 19:32:04 localhost named[14700]: lame server resolving '10.0.16.172.in-addr.arpa' (in 'arpa'?): 198.41.0.4#53

и так куча на каждый ип сети 172.16/12 на момент теста ниодного подключения к впн(те и к этой сети нет). а запросы всё равно идут.

на рекурсию идут сети:

127/8;
172.16/12; - клиентские адреса впна на инет
192.168/16; - адреса локалки

в логах стало: May 29 19:32:04 localhost named[14700]: lame server resolving '186.177.226.194.in-addr.arpa' (in 'arpa'?): 202.12.27.33#53 May 29 19:32:04 localhost named[14700]: lame server resolving '10.0.16.172.in-addr.arpa' (in 'arpa'?): 192.228.79.201#53 May 29 19:32:04 localhost named[14700]: lame server resolving '186.177.226.194.in-addr.arpa' (in 'arpa'?): 198.32.64.12#53 May 29 19:32:04 localhost named[14700]: lame server resolving '10.0.16.172.in-addr.arpa' (in 'arpa'?): 198.41.0.4#53

и так куча на каждый ип сети 172.16/12
на момент теста ниодного подключения к впн(те и к этой сети нет).
а запросы всё равно идут.

'lame server' - это вообще-то не только из-за запросов, но и указание того, что родительский dns сервер говорит, что такая-то зона отдана на управление таким-то серверам, поэтому спрашивать об этой зоне нужно у них, а сами эти сервера наоборот не признаются и говорят, что они такую зону не обслуживают.
У вас ваш dns-сервер вообще обслуживает локальные реверсные зоны 168.192.in-addr.arpa, 127.in-addr.arpa, 16.172.in-addr.arpa ?
Похоже, что клиенты обращаются на определение локальных IP адресов (это ведь должно быть доступно и без vpn-подключений ?), а ваш dns-сервер эти зоны не обслуживает и начинает рыться в inet-е. Но т.к. это зоны локальных диапазонов IP, естественно, что никто из внешних dns-серверов ничего ему о них не ответит.

Если мое предположение верно, то вам нужно:
1) либо создать у себя и заполнить эти зоны;
2) либо просто откючить логгирование "напрасного делегирования":
logging {
category lame-servers { null; };
...
}
3) либо не обращать на эти логи внимание :-)