soweit mir bekannt ist brauchst du für eine DNS Challenge keinen Port nach innen aufmachen 
also daher nein, und da mein Lab nur intern erreichbar ist sind nach innen alle Ports zu
Okay, danke. Probiere ich mal aus.
DynDNS zwischen fritzBox und IPv64 brauche ich aber?
Für eine DNS Challenge musst du mit Let’s Encrypt kommunizieren¹ und du musst DNS Records² für deine Domain setzen können.
Deine Domain muss außer dem Record, den du für Let’s Encrypt setzen musst, keine weiteren Records haben. Insbesondere ist egal, wo mögliche A / AAAA / CNAME / … Records “hinzeigen”.
¹ Das erfordert eine von deinem Client ausgehende TCP Verbindung in Richtung LE. Die ist im Regelfall gegeben. Solange du keine ausgehenden Verbindungen filterst (sieht man eigentlich eher im Enterprise-Umfeld).
² Wie du das machst, hängt davon ab, wie du deine Domain verwaltest. Gängige Clients können oft standardmäßig bereits mit diversen Hosting Anbietern und Domain Händlern (Domain Factory, INWX, Domain Offensive, …) arbeiten und können hierfür zur Verfügung gestellte APIs ansprechen. Einige Clients können auch unmittelbar DNS Server, wie zum Beispiel bind9, konfigurieren, falls du für deine Domain eigene Nameserver einsetzt.