Je suis très curieux de la production de vos "bonnes" pratiques puisque une autorité (l'IETF), elle, quand elle doit résoudre ce problème de délégation d'un seul et même préfixe à la fois au routeur et au reste de l'environnement du client ne préconise pas l'absence d'adresse de portée globale au routeur mais l'introduction d'une option DHCP pour détacher une sous-partie du préfixe pour pouvoir la fournir au routeur (rfc 6603).
Dans le cadre de Free, le travail est déjà pré-mâché puisque les segments sont déjà individualisés (et qu'on n'utilise pas DHCP pour la délégation).
pas vraiment d'accord la mais on part un peu en hors sujet.
la préco de l'IETF c'est de ne pas utiliser un prefix délegué sur l'interface qui sert au DHCP:
ce que dit la rfc 3633:
with the following exception: the requesting router MUST
NOT assign any delegated prefixes or subnets from the delegated
prefix(es) to the link through which it received the DHCP message
from the delegating router.
c'est sur le lien qui sert a la réception des messages DHCPv6-PD qu'il ne faut pas utiliser un des prefix.
D'ailleurs la livebox par exemple respecte cette norme: elle n'a pas de GUA coté WAN, elle y recoit un /56 via DHCPv6-PD mais ne configure pas de /64 (de ce /56) sur son WAN car elle respecte cette rfc.
autrement dit: si on veut une GUA sur son WAN il fallait utiliser autre chose que de s'approprier un prefix recu par dhcp-v6 sur son WAN SI aussi on redistribue les prefixes recues comme serveur dhcpv6-pd (le SI est important). Pourquoi ? parce que, entre autres, cela crée 2 routes pour le routeur en amont ce qui dans certaines config (notamment en partage de connexion via un mobile par exemple) pose probleme.
la rfc6603 permet de palier a cette contrainte en permettant d'exclure un /64 qui pourra faire l'objet d'une telle utilisation.
rfc 6603:
The OPTION_PD_EXCLUDE option
allows prefix delegation where a requesting router is delegated a
prefix (e.g., /56) and the delegating router uses one prefix (e.g.,
/64) on the link through which it exchanges DHCPv6 messages with the
requesting router with a prefix out of the same delegated prefix set.
mais c'est une option quand on veut vraiment faire cette double utilisation particulière d'une délégation. Ce n'est pas a généraliser pour toute les configs dhcpv6-pd.
De toute façon, il ne faut pas avoir une connaissance intime de la mécanique des OS pour réaliser que dissocier adresse (liée à une interface) et l'interface de transit n'est pas l'option de traitement idéale tant en sécurité qu'en performance. Là où ça prend encore de l'ampleur c'est quand on préconise des contortions pour ipv6 quand de toute manière IPv4 sera frontal et que le routeur en question sera déjà, par essence, filtrant (à état qui plus est).
pourquoi ? niveau sécurité c'est mieux de ne pas avoir de GUA coté WAN (le routeur peut avoir une GUA coté LAN ou en loopback interne pour termination VPN par exemple).
niveau performance / routage je ne vois pas trop ou est le probleme.
Il n'y pas de contorsions, c'est plutôt standard en IPv6.
Je serais curieux d'avoir plus de détails la.