SOLUTION:

Bon, j'ai fini par faire quelque chose d'ignoble, d'hérétique, qui me fera probablement bruler sur la 3eme couche de bucher OSI.
J'ai fait une NAT66...

En clair, la Livebox 6 me donne une IPv6 en /64, disons 2001:ABCD:ABCD:FF00:0001:0002:0003:0004/64
Côté OPNSense, j'ai configuré mon interface WAN en DHCPv6. N'ayant pas de prefix delegation de la part de la box, je reçois une adresse disons 2001:2002:2003:2004:000A:000B:000C:000D/64 soit un seul sous réseau de 64 bits.
Jusqu'à la, tout va bien, et mon routeur dispose donc d'un accès IPv6.
Attention toutefois si on fait un test ICMP avec un vulgaire ping -6 google.fr, vous aurez une réponse ou non en fonction de l'adresse IPv6 que vous donnera la requête DNS. Certains serveurs google répondent à l'ICMP, d'autres non... Autant faire un ping vers une adresse IPv6 directement dont on est sûr qu'elle réponde.

Ensuite j'ai configuré mon adresse LAN avec une IPv6 statique.
J'aurai pu mettre une ULA (type FD96:BAD:CAFE::1), mais les systèmes d'exploitation préfèreront alors utiliser l'IPv4 plutôt qu'une ULA.
J'ai donc décidé de configurer une GUA, dans l'espace d'adressage de la Livebox.
Sachant qu'Orange fournit à la livebox un /56, je pourrai donc être sûr que n'importe quelle réseau en 2001:ABCD:ABCD:FFXX::/64 soit libre, exceptée si XX = 00, soit le réseau /64 même de la livebox sur lequel elle me fournit une adresse pour mon interface WAN.
J'ai donc configuré en statique l'IPv6 2001:ABCD:ABCD:FFFF::/64 comme adresse LAN, soit les deux derniers octets différents du sous réseau de la livebox, créant ainsi un sous réseau à part.
J'ai activé les router advertisements (services > router advertisements) en "Unmanaged", en incluant l'advertisement de la route par défaut, et un DNS IPv6 (à savoir celui de Cloudflare 2606:4700:4700::1111). J'aurai pu également activer le DHCPv6 sur le LAN pour avoir un contrôle plus fin sur l'adressage LAN, mais ce n'est pas une obligation.

Le côté hérétique vient de l'utilisation d'une NAT pour transformer mon plan d'adressage IPv6 LAN en IPv6 WAN (d'où le terme de NAT66 ou plutôt NAT666 vu que c'est apocryphe).
Cela permettra à mon routeur OPNSense de remplacer les adresses de mon LAN par l'adresse WAN qui est dans le sous réseau de la livebox, et ainsi pouvoir sortir.
Dans Firewall > NAT > Outgoing, il faut activer le mode NAT hybride permettant d'ajouter des règles manuelles en plus des règles automatiques.
A partir de là, j'ai ajouté une règle sur l'interface WAN, qui traduira les adresses "LAN Net" en "WAN Address".

Et voilà, j'ai IPv6 fonctionnel sur l'ensemble de mon parc, et je peux répéter l'opération autant de fois que j'ai de VLANs à créer au besoin.

Bonus, en ayant configuré le parefeu de la Livebox, je peux utiliser la NAT de mon routeur comme je l'aurai fait avec une NAT IPv4 pour être joignable en IPv6 depuis l'extérieur, au prix de devoir partager mes 65535 ports entre tous les équipements de mon réseau local.

En espérant que cela puisse aider ceux qui ont les mêmes problématiques que moi en attendant que Orange daigne distribuer des /57 ou /60 aux clients finaux, vu que les livebox reçoivent déjà un /56.


Un seul bémol, la livebox ne laisse pas passer l'ICMPv6 vers mon routeur.
Autant je peux faire une NAT entrante vers un serveur derrière le routeur et il sera joignable sur l'IP WAN de mon routeur, autant, pinger l'IP du routeur reste impossible.
D'après mes logs, je je ne reçois pas les pings, donc je présume fortement que la Livebox les filtre.

Petit rajout de dernière minute, j'ai fini par mettre une adresse IPv6 fixe sur la WAN, afin que celle-ci ne contient pas la MAC de l'interface WAN de mon routeur OPNSense.
Cela permet aussi de faire des adresses plus courtes type 2001:2002:2003:2004::CAFE 

Le côté hérétique vient de l'utilisation d'une NAT pour transformer mon plan d'adressage IPv6 LAN en IPv6 WAN (d'où le terme de NAT66 ou plutôt NAT666 vu que c'est apocryphe).

Ah, mais bien sûr, utiliser ce NAT66, c'est carrément la folie ! Être satanique, hérétique, tout ça pour une petite dose de traduction d'adresse réseau version IPv6. C'est tellement impossible que même les licornes pleurent des arcs-en-ciel en y pensant.

Vraiment, que la horde de l'orthodoxie se lève, car le simple fait d'oser une telle hérésie mérite une purification en règle. On devrait probablement organiser une cérémonie où l'on balance des manuels de réseau sacrés sur toi, histoire de purifier ton âme de façon sataniquement orthodoxe !
Peut-être même que le diable lui-même s'arrêterait de rire un moment pour voir ce spectacle. Et qui sait, peut-être que la prochaine fois, nous devrions aussi invoquer les esprits de l'Internet Engineering Task Force (IETF) pour obtenir leur bénédiction. Ah, la vie d'un hérétique du NAT66, c'est tout un cirque, n'est-ce pas ?