В своих сетях я использую DHCP с опцией 43.
Тут про это написано: wiki.ubnt.com/UniFi_FAQ
Также рекомендую клиентов заворачивать в VLAN и фаерволом запретить ходить в подсеть менеджмента.
1) Гугл говорит не поддерживает тик DNSSEC forum.mikrotik.com/viewtopic.php?t=42558
2) А шифровать только через тоннель или ipsec... Т.е. только до "своего" можно
