Pourquoi deux fois le même enregistrement ?
Sinon pour le problème avec ton routeur en l'état avec tes explications je ne vois pas de rapport avec le proxy inversé. Tu définis un enregistrement de type A pointant router.ndd.com vers l'IP de ton routeur (réseau 1). Si ton routeur expose son interface d'administration sur le port 443, que le domaine/sous-domaine est bien enregistré auprès de Let's Encrypt ça devrait marcher.
SI c'est par proxy inversé que tu veux y accéder, alors c'est différent.
Tu veux d'une part que ton routeur soit accessible aux autres périphériques, via son nom de domaine, donc tu gardes ton enregistrement de type A router.ndd.com -> 192.168.1.1
Ça c'est simplement ton DNS local qui l'impose, le proxy inversé n'intervient pas.
Au delà de ça, tu veux qu'un service qu'il expose, j'imagine son interface d'administration, soit accessible via le proxy inversé.
Dans ce cas-là il faut que la requête soit redirigée vers le proxy inversé, tu le fais au moyen d'un enregistrement CNAME router.ndd.com -> ns1.ndd.com, c'est ensuite le proxy inversé qui va rediriger de manière transparente vers 192.168.1.1:80 (80 par exemple, il s'agit du port HTTP sur lequel est exposé la webUI du routeur).