Man muß bezüglich der Generierung von IPv6 Adressen zwischen zwei Aspekten unterscheiden, welche beide mit Privatsphäre zu tun haben:
Zum einen geht es um eingehende Verbindungen, welche zum Beispiel mit Hilfe von dyndns Anbietern ( bei mir freedns.afraid.org Achtung Reklame ;-) realisiert werden. Wenn man die IPv6 Adresse aus der MAC-ID generieren lässt, dann kann man hierdurch die Hardware des Servers eindeutig identifizieren. Anhand des Suffix 922b:34ff:fe38:2b89 kann man ausrechnen, daß die MAC-ID meines PCs 90:2b:34:38:2b:89 lautet und es sich mithin um den Hersteller Gigabyte handelt. Darüber hinaus liese sich theoretisch auch nachprüfen, daß es sich um das Mainboard meines Rechners, und nicht um daß meiner Frau, welche ebenfalls ein Gigabyte Board hat, handelt. Um dies festzustellen, benötigt man aber physischen Zugriff auf unsere beiden PCs, und den hat ja nur jemand, der mich sowieso kennt und z.B. zu Besuch ist. Desweiteren haben nur solche Leute die Möglichkeit, über dyndns an die IPv6-Adresse und somit auf die MAC-ID zu kömmen, denen ich meine Dyndns Adresse mitgeteilt habe. Daher sehe ich darin eine eher kleine Beinträchtigung der Privatsphäre.
Anders ist es bei ausgehenden Verbindungen: Wenn ich mit einer IPv6-Adresse, deren Suffix aus der MAC-ID generiert wurde im Netz surfe, bin ich anhand es unveränderlichen Suffix leicht trackbar, denn jede MAC-ID ist ja eindeutig einem bestimmten Gerät zugeordnet. Und somit wäre es zum Beispiel relativ leicht für Webseitenbetreiber, mich mit personalisierter Werbung zu nerven.
Daher verwende ich für ausgehende Verbindungen temporäre IPv6 Adressen, welche sich alle paar Stunden ändern, während ich für eingehende Verbindungern mit festem Suffix arbeite.
Die Verwendung von temporären Suffices für abgehende Verbindungen hat aber auch einen Nachteil bezüglich dyndns: Wenn man die Update-URL für den dyndns Anbieter, zum Beispiel per ddns, einfach nur so aufruft, bekommt der, weil es ja eine ausgehende Verbindung ist, die temporäre IPv6-Adresse mitgeteilt, welche aber nur wenige Stunden gültig ist und bei der die Freigabe der Fritz!Box nicht greift. Man muß also die Update-URL manuell zusammen bauen, damit dem dyndns Anbieter die IPv6-Adresse mit dem festen Suffix mitgeteilt wird.
Daher ist für deinen Fall ( nur eigehende Verbindungen gewollt ) die einfachste Lösung: SLAAC auf hwaddr ( was noch nicht der Fall ist ) und temporäre Adressen aus ( was offenbar schon der Fall ist ).
Und auf der Fritz!Box kannst du die IPv6-Adresse des Paspi ohnehin nicht so einfach updaten: Die Box übermittelt ja dann Ihre eigene IPv6 an dyndns und nicht die des Raspi. Das muß, wenn man nicht besondere Tricks anwenden will, auf dem Raspi mit einem dyndns Clienten gemacht werden.