Souci IPv6

Bonjour à tous,

Je viens de changer de FAI après une série de déboires dus au rachat
de Nerim par Keyyo. Je reconfigure donc mon réseau et j'ai quelques
petits soucis IPv6.

J'ai un /29 IPv4 et trois machines en frontal :
- un Linux Devuan
- un NetBSD-10
- un OpenVMS

Le LAN est derrière le serveur NetBSD, lequel a une interface
spécifique pour attaquer les serveurs Linux et OpenVMS en DMZ.

Schématiquement, ça donne ceci :

WAN
|
+----------------------+--------------------+
|                      |                    |
NetBSD                 Linux                OpenVMS
|   |                  |                    |
|   +---------------------------------------+
    |
|
LAN

La route par défaut du LAN est au travers du NetBSD (IPv4 et IPv6).
Tout ceci fonctionne parfaitement bien en IPv4.

En IPv6, c'est la misère.

Mon nouvel FAI me fournit un /56 IPv6. On va écrire ce réseau
PREFIX:a00::/56.

Côté Linux, j'ai repris la configuration héritée de Nerim aux
adresses près :

Root rayleigh:[~] > ifconfig wan0
wan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
...
        inet6 fe80::5246:5dff:fe72:efa2  prefixlen 64  scopeid 0x20<link>
        inet6 PREFIX:a00::2  prefixlen 64  scopeid 0x0<global>
...

J'ai donc utilisé un sous-réseau en /64 (et non/56) côté passerelle.
Les autres /64 sont utilisés côté DMZ/LAN.

Dans le fichier /etc/network/interfaces, j'ai une déclaration IPv6
statique :

iface wan0 inet6 static
        address PREFIX:a00::2
        netmask 64
        gateway PREFIX:a00::1
        pre-down /sbin/ip -6 route del unreachable PREFIX:a00::/56
        post-up /sbin/ip -6 route add unreachable PREFIX:a00::/56

Ça fonctionne.

Côté NetBSD, j'ai configuré de la même manière un /64 côté
passerelle. Ainsi qu'un autre /64 côté LAN :

wm2: flags=0x8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
...
        inet6 fe80::a62:66ff:fe47:6399%wm2/64 flags 0 scopeid 0x3
        inet6 PREFIX:a00::3/64 flags 0
...

lagg0: flags=0x8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
...
        inet6 fe80::6a05:caff:fe02:b259%lagg0/64 flags 0 scopeid 0x9
        inet6 PREFIX:a10::128/64 flags 0
...

La machine Linux peut aller sur Internet IPv6. De même que la
machine NetBSD.

Mais les machines du LAN n'ont pas d'accès. Si je lance un ping sur
par exemple www.google.fr, je vois passer côté WAN de la machine
NetBSD les paquets à destination de www.google.fr. Mais aucun
retour.

Je suppose que le problème est que j'ai un /64 sur le WAN du NetBSD
et un /56 côté passerelle du FAI (ce qui est corrigé côté Linux par
le réseau /56 en unreachable). Comment corriger ce problème ?

Merci de vos lumières,

JKB

--
Si votre demande me parvient en code 29, je vous titiouillerai volontiers
une réponse.