Das Problem ist "netcup-spezifisch". Wie dan3o3 bereits geschrieben hat, ist die gängige Lösung dazu gewesen, dass man den ndppd nutzt. Die sysctl Variable net.ipv6.conf.interface.proxy_ndp kannte ich bis jetzt noch nicht und habe ich noch nicht genutzt.
Das erste IPv6 Netz einer KVM-Maschine bei netcup wird nicht geroutet, sondern "geswitcht". Dass bedeutet eben auch, dass du dich mit der Neighbour Discovery rumschlagen musst.
Alle weiteren Netze, welche du hinzubuchen kannst und dem Server zu gewiesen sind, werden auf die angezeigte Adresse geroutet. Die Adresse setzt sich aus dem 64-Bit Präfix des ersten IPv6-Netzes zusammen und die letzten 64-Bit sind die "modified eui 64" der Ethernet-MAC-Adresse.
Für deinen Anwendungsfall, dass du einen netcup Server als VPN-Server nutzen möchtest, welcher ein Netz nach hinten weiterreicht, ist das mit einem zusätzlichen v6-Netz von netcup deutlich einfacher, da du dann eben kein Neighbour Discovery Proxying machen musst, sondern ganz normal routest.
Falls du stattdessen neben dem ersten IPv6-Netz von netcup dir einen Tunnel von Hurricane Electric legst, denke daran, dass du dann auch Source Based Routing machen musst, da du den Traffic nicht über das netcup-Netz ausleiten kannst.