Perso je ferais simple et pas de VPN site a site, tout en GUA partout avec un contrôle d'accès au niveau le plus haut (applications). Filtrer / limiter au niveau 3 (IP) c'est un peu le passé (avec le télétravail et les mobiles la notion de 'site' fixe n'a plus trop de sens). Pour les équipements qui ne supportent pas cela, il suffit de les isoler derriere un reverse proxy par exemple ou utiliser un VPN 'zero configuration' comme tailscale.com par exemple.

cela dit:

1. Y a-t-il en IPv6 un système de résolution de noms qui permette de s'affranchir de l'adressage fixe (par exemple, quand le NAS s'autoconfigure une ULA d'après un préfixe diffusé par le routeur, peut-il mettre à jour dynamiquement son enregistrement DNS dans dnsmasq ? ), ou bien faut-il conserver dnsmasq pour attribuer des ULA fixes et maintenir la table DNS ?

A-> bien comprendre que des ULA n'ont de sens qui si on a n'a pas d'IPv4 dans le DNS aussi. sinon les IPv4 seront prioritaires

il y a plusieurs méthodes pour "DNSifier" des ULA sans DHPCv6 statefull:
 1 - utiliser un 'interface identifier' fixe (avec 'ip token' ) sur les machines et faire du dns fixe
 1bis - on peut aussi simplement mettre l'IPv6 construite avec l'@ mac mais faudra l'adapter l'enregistrement si on change la carte réseau. dnsmasq peut faire cela automatiquement en utilisant le nom obtenu via IPv4  (option ra-names) mais avec des ULA cela a moins d’intérêt (cf A) c'est surtout utile avec des GUA en full dual-stack.
 2 - utiliser un script de mise a jour du DNS quand l'adresse SLAAC est configurée ou changée (il faut un serveur DNS qui supporte la mise a jour via API ou autre donc ca revient à faire du Dynamic DNS localement).
 3 - utiliser un serveur DHCPv6 statefull mais que pour certaines machines uniquement en activant un serveur DHCPv6 mais sans positionner le bit RA a M (il faut donc que les machines fassent une demande explicite DHCPv6 eux-meme, ceci peut-être en plus d'une adresse SLAAC). ca veut dire que sur le meme LAN, des machines seront en SLAAC normal et d'autres en DHCPv6 statefull ou meme les 2. On peut aussi limité le serveur DHCPv6 a ne donner que des baux statiques prédéterminés et rien d'autre (si on a 3 baux statiques: ::10, ::11; ::12 et on définit la plage DHCPv6 de ::10 a ::12 comme ca aucune autre machine ne pourra avoir une IPv6 via DHCPv6 mais ca revient a gérer des addresses MAC aussi donc autant faire 1bis)
 4  - relayer du mDNS dans le serveur DNS (c'est possible avec CoreDNS: https://github.com/openshift/coredns-mdns ) - attention toutefois a ne pas relayer des link-local hors du LAN, ca ne servira pas sur les autres LAN.

Le plus simple sur un petit LAN: c'est 1 sur les machines qui supportent "ip token" et 1bis pour les autres.

2. Dans le cadre d'un VPN en mode tap, qui, entre le serveur OpenVPN et le serveur dnsmasq (ou radvd, ou dhcpv6-pd, je ne me suis pas encore renseigné sur lesquels font quoi en IPv6), doit diffuser le préfixe ULA ?
J'ai cru comprendre qu'il ne pouvait y avoir qu'un diffuseur sur un lien de niveau 2, et donc dnsmasq me semble plus logique, afin que mon LAN perso puisse construire ses ULA même quand la liaison VPN tombe, mais cette répartition des rôles est très floue pour moi.
J'ai aussi lu qu'il faudrait en fait scinder le préfixe ULA en deux sous-réseaux, un diffusé par dnsmasq, l'autre par OpenVPN : mais je n'ai pas compris comment les deux sous-réseaux communiquent entre eux sans routage.

oui il faut du routage et faire des /64 dans le prefix ULA de ton choix.

Idéalement en site a site il faut du DHCPv6-PD entre les routeurs des sites distants et le routeur central.
Dans les cas de 3 sites, tu peux aussi faire a la main plutot que du DHCPv6-PD c'est plus simple.
L'annonce RA sur chaque LAN peut-etre fait avec un daemon radvd sur n'importe quel machine pas forcement celle qui fait le VPN (faut juste bien configurer le VPN au niveau routage).
Avec Wireguard c'est bien plus simple à faire qu'avec OpenVPN (avis perso).

3. Est-il possible d'empêcher un équipement donné (par exemple une caméra dont je souhaite qu'elle ne soit accessible qu'à travers un VPN et une ULA) d'obtenir une GUA ?

Les réponses à ces questions en amèneront sans doute d'autres, mais me permettraient déjà de voir plus clair dans ce que peut être un réseau IPv6 qui ne soit pas qu'une transposition de la logique IPv4.

Si la caméra s'auto-configure en SLAAC et qu'un prefix GUA est annoncé en RA non on ne pourra pas l’empêcher de se configurer une GUA .
Apres si elle n'utilise pas de randomisation de son IPv6 GUA tu peux la bloquer dans un firewall par exemple vu que son IPv6 GUA sera déterminable via sa MAC (idem méthode 1bis)
Sinon y'a des switch qui supportent le filtrage des RA si la caméra est  en réseau filaire ou tu peux la mettre dans un VLAN a part mais il faudra un autre prefix /64 ULA en plus pour ca.