Je zou ULA adressen aan je 'binnenkant' kunnen gebruiken, maar echt, NAT, WAAROM? Het levert meer ellende op dat het oplost. Regel gewoon dat die /64 naar je firewall gerouteerd wordt, dan heb je aan LAN en WAN zijde gewoon gerouteerde adressen. IPv6 biedt je de mogelijkheid om netwerken netjes in te richten en niet met NAT te hoeven rommelen, gebruik die, in plaats van vast te houden aan wat in IPv4 een noodzaak was.
Wat Wido en ik je tot nu toe geprobeerd hebben uit te leggen is overigens absoluut geen transparante firewall. Het is een simpele, routed oplossing.
Trouwens, je citeert eerder (#26) dat je een /64 gekregen hebt, maar geef je een subnet van /48. Hoe zit het nou?