Aus Gründen der Ausfallsicherheit ist es sicher gut, den lokalen Pihole und noch einen „guten“ (filternden und vertrauenswürdigen) anderen DNS Server eingetragen zu haben. Das habe ich auch so, falls der Pi-hole doch mal ausfallen sollte bzw. während der geplanten einmal wöchentlich knappen kurzen Downtime Sonntag morgens für den Reboot meiner Linux Kiste oder beim Stoppen und Neustarten des Containers.
Normalerweise sollten immer beide DNS Server zugleich angefragt werden.
Auch wenn du es dir mit einem VPS zutraust, gebe ich @Cyberduck Recht, dass mein erster Vorschlag auch schon ziemlich gut ist.
Quad9 ist mittlerweile seit Herbst 2024 performance-technisch wieder gut (ich habe mir irgendwann meine Monitoring-Daten davor überschrieben, aber davor war Quad9 eine zeitlang richtig mies: schlechte Antwortzeiten oder gar keine Antwort); aber Cloudflare (1.1.1.1) siehe https://www.kuketz-forum.de/t/adguard-home-welchen-upstream-dns-server/11848/10?u=thomasmerz
Einziger Nachteil: Wenn die Geräte mal das heimische (W)LAN verlassen… wer passt dann auf sie auf? 
Alternative 2:
Wenn es nur nicht zu viele Endgeräte sind, dann kannst du auch auf allen direkt die o.g. „zwei DNS-Upstream-Server“ eintragen und hast Ausfallsicherheit und (Fast-)Überall-Schutz mit abgedeckt und hast keinen Supportaufwand mehr 
„Fast-Überall“, weil du noch nicht vorab in allen möglichen noch zu verbindenden WLANs/Hotspots (Urlaub! Hotel! Freunde und Bekannte!) diese DNS-Server eintragen kannst. Aber u.U. blocken fremde WLANs auch fremde DNS-Server (aber kein VPN )