IPv6 a été conçu pour que toutes les machines aient une IPv6 public y compris le frigo. meme plusieurs.
les ULA ne sont pas conçues pour faire du NAT/PAT, le NAT est a proscrire en IPv6 (meme si ca existe). On a inventé IPv6 pour supprimer le NAT qui a été inventé a cause du manque d'adresses IPv4... la philosophie derriere IPv6 est une connectivité niveau 3 de bout en bout.
Les ULA sont conçues pour des relier des segments LAN entre eux avec des adresses privées (réseau étendu d'entreprise par exemple, containers, tunnels VPN, etc) car les link-local ne sont pas routables. Dans ce contexte une meme machine peux avoir une GUA (plusieurs en fait a cause des privacy extensions (rfc8981)) pour son accès Internet et une ou plusieurs ULA aussi pour acceder a des ressources privées.
Traiter et aborder IPv6 comme si c'etait IPv4 avec des adresses plus grandes est le meilleur moyen de mal faire les choses (on le répète souvent ici sur ces forums).
Quand on passe a IPv6 il faut mieux oublier ce qu'on faisait en IPv4 et repenser son réseau de zero.
Statefull DHCPv6 est a éviter si possible. SLAAC + éventuellement stateful DHCPv6 est la méthode recommandée.
oui la Freebox pèche niveau firewall IPv6 et encore y'en a un maintenant , pendant des années y'en avait pas du tout. C'est un gros probleme a mon avis mais elle a un mode bridge / routage des préfixes ipv6 donc ca peut se compenser avec son propre firewall.
Apres l'avenir c'est une simplification du réseau, lan d'entreprise ou lan (wifi) du macdo d'a coté c'est pareil. On ne fait plus de sécurité niveau 3/4 (access list, firewall, etc) mais au niveau 7 directement (application, authentification ,etc). Ca simplifie tout, notamment les PC pour le télétravail, etc. Tout les LAN sont considérés 'hostiles" et traité de la meme facon. Pourquoi parce aussi que les equipment's de sécurité niveau 3/4 ont du mal a suivre les débits fibres (10G et plus) ca devient cher et complexe (bon après les vendeurs de matos sécurité réseau diront bien sur le contraire).
Il reste les datacenters ou le traffic interne peut rester en IPv4 ou en IPv6 ULA et tout passe par des passerelles applicatives (firewall niveau 7, proxy, reverse proxy, etc). C'est de toute facon la "best practice" meme en IPv4.
Pendant des années on a recommandé le "dual stack", en grand public c'est facile, en entreprise c'est plutôt déconseillé il faut mieux faire du "ipv6 only" avec des ilots IPv4 et des mécanismes interop (DNS64/NAT64) ou juste des passerelles applicatives.
IPv6