Je me réponds à moi-même, ça pourrait en intéresser d'autres !
Alors j'ai dû ajouter des règles de firewall sur le ruleset WAN_LOCAL : dns, http, https et ntp en autorisant les ports source (respectivement udp/53, tcp/80, tcp/443, udp/123).
Maintenant, la date se met correctement à jour, je peux utiliser apt pour télécharger des paquets, et la résolution dns fonctionne sur le routeur.
Effet de bord intéressant, avant, quand je me connectais en ssh sur le routeur, ça mettais plusieurs dizaines de secondes pour avoir la mire de login ; maintenant, c'est instantané.
Si quelqu'un pouvait expliquer pourquoi j'ai dû positionner pour tout ça des règles sur WAN_LOCAL et surtout pourquoi sur les ports source ?
Le routeur en lui-même est considéré comme étant dans la zone local ?