Vielen Vielen Dank an Euch alle! Vor allem an H6G und perryflynn!
Danke Paul, im NGINX Docker hatte ich den "listen [::]" schon gesetzt.
Es lag wirklich an den ip6tables:
-A FORWARD -s 2a01:4f8:xx:xx::/64 -o eth0 -j ACCEPT
-A FORWARD -d 2a01:4f8:xx:xx:4::/80 -j ACCEPT
Das sind die hilfreichen Zeilen gewesen. Denn Docker legt nur iptables an, aber keine ip6tables. Daher musste ich diese separat setzen.
Die Umsetzung mit NDP läuft bei mir gut. Leider ist es jedoch so, dass immer die ersten PING-Pakete nicht durchkommen. Der NDP-Proxy braucht irgendwie immer eine Weile, es fehlen immer so 2-4 Pakete am Start, wenn lange keine Verbindung zum Server bestand.
Meine ndppd.conf:
Ich binde mit "auto" nicht direkt an ein Interface, er soll selbst in der Routing-Tabelle schauen, wer zuständig (ROUTER SOLICITATIONS) ist.
Kann meine "Wartezeit" genau damit zusammenhängen?
Ernstgemeinte Frage, denn normalerweise, so habe ich es verstanden, ruft der NDPProxy regelmäßig raus und fragt, welche Router verfügbar sind und meldet sein Netz an, dass er eben für "2001:db8:a::/80" zuständig ist. Der Router packt das Netz in seine Routing-Tabelle. Ruft einer bei "2001:db8:a::1" an, so weiß der Router wo er hinsenden muss. Hat er nichts in der Routing-Tabelle stehen, fragt er im Netz nach, ob sich jemand dafür zuständig fühlt und wartet auf Antwort. Ist das soweit korrekt? Vor allem der letzte Satz?
Genau dieser Vorgang ruft dann eben meine 2-4 ICMPv6-Paketloss hervor. Korrekt soweit?
Wenn ja, wie kann ich das, außer ab und an mal manuell ping6 zu benutzen, verbessern?
Note: Dadurch habe ich eben oft das Problem, dass der Browser einen "Fallback" zu IPv4 vornimmt.