Virer la box ce n'est pas l'assurance d'avoir un préfixe qui ne changera jamais. Ca diminue juste la probabilité qu'il change.

Chez moi je génère dynamiquement radvd.conf en fonction du préfixe reçu.

De mon coté sur le routeur j'ai radvd qui annonce un préfixe ULA (qui ne change donc jamais) + un /64 dérivé du /56 assigné par Orange, ceci pour chacun de mes VLAN. J'utilise 'ip token' depuis quelques mois afin d'avoir des IPv6 plus lisibles pour mes serveurs.

Sur mon serveur DNS, tous mes enregistrements AAAA sont des adresses ULA. Pour les machines qui doivent être visibles de l'extérieur en IPv6, je fais du dyndns avec un script perso (mes zones sont hébergées chez Cloudflare donc j'utilise leur API REST pour mettre à jour mes enregistrements A & AAAA).

Le seul problème c'est que certains OS préfèrent IPv4 à IPv6 ULA et donc se connectent en IPv4 quand un enregistrement A & AAAA sont présents. J'ai résolu le problème en virant mes enregistrements A et en ne gardant que les AAAA

Est-ce que tes différents scripts sont dispo sur Github ou autres ?

Je suis très intéressé par ceux-ci.

Ok.

Si tu utilises des librairies particulières pour traiter les adresses IPv6, ça me va aussi

Vous voulez mon avis : Orange fait ch...

Ah , heu oui on est courant que la stack n'est pas simple ; mais on arrive quand même à faire des beaux bypass moyennant un peu de matos et des connaissances réseau ^^

Vous voulez mon avis : Orange fait ch...
J'ai quitté un autre opérateur qui offre une IP fixe et un délégation IPv6, pour bénéficier de la fibre Orange, et je le regrète déjà.

Et encore, on t'as pas dit que Orange bloquait SMTP (25) vers les serveurs autres que les siens

Je suis en double nat (depuis des années) pour trois raisons principales:
- Ca permet une défense en couche. Les rares fois où Openwrt aura des failles, elles auront alors des chances de ne pas être exploitables car non accessibles et protégées par la box en amont.
- Je préfère ne dépendre que de moi pour sécuriser mon lan et garantir l'aspect privé de ce qui s'y passe (ce en quoi je ne fais pas 100% confiance aux FAIs...).

Tu sais que ça fait des années que les malwares et autres merdes sont capables de traverser le NAT sans problèmes et que ça ne sert absolument à rien ?

Bah oui, tu te protèges uniquement sur les connexions entrantes, mais tu ne filtres aucunement le sortant avec ton double NAT. Au début oui, il fallait qu'un démon reste en écoute de son maitre qui lui file des commandes (genre attaquer tel site).

Depuis des années c'est fini, c'est ton ordi lui-même qui demande toutes les 5min au maître s'il a du travail pour lui, c'est donc ton ordi qui initie la connexion et pouf, ça sort. Et c'est d'une efficacité redoutable, car quasiment personne ne filtre son output