le routage v6 est activé ?
cat /proc/sys/net/ipv6/conf/all/forwarding
ca affiche 0 ou 1? si 1 verifies par interface aussi (/proc/sys/net/ipv6/conf/<nom court d'interface>/forwarding).

essais  en coupant ip6tables:
service ip6tables stop

sinon faut en savoir plus sur la config:
ip -6 route show
et
route -A inet6
ca affiche quoi?

sinon https://www.sixxs.net/wiki/IPv6_Firewalling pour des exemples.

T'as vérifié le routing sur chaque interface ? (eth0 et le tunnel surtout).
Je vois lan, eth0, et wlan0. Ton PC qui ping pas est sur lequel?

t'as pas ip6tables on dirait..curieux.
essais:
sudo ufw disable
Pour voir si marche. Si ca marche avec ufw coupé alors il faut configurer ufw ou le laisser coupé.

sinon que donne:

sudo cat /etc/radvd.conf
et "ifconfig" (en entier).
et c'est quel Linux?

Ton prefix dans radvd.conf est pas bon.
Tu as mis l'ip de ton coté du tunnel (xxxx:xxxx:xxxx:xxxx::2/64) au lieu de mettre le réseau /64 entier. La bonne valeur à mettre est  intitulée 'routed/64' dans la page de ton tunnel sur le site tunnelbroker.net.

ca devrait donc: (juste un "2" a enlever).edit: c'est faux, il faut mettre la valeur intitulée 'routed/64' dans le site de HE.
interface lan
{
   AdvSendAdvert on;
   prefix 2001:470:1f12:9d4::/64
   {
        AdvOnLink on;
        AdvAutonomous on;
   };
};
edit : c'est donc un subnet /64 distinct pour le LAN. ce qui suit n'a plus lieu d'etre.

A noter que ce genre de tunnel avec un seul /64 marche mais c'est plus "propre" et recommander d'utiliser 2 subnets différents, un pour le tunnel et un pour le LAN car la le /64 est coupé en 2, y'a un bout qui sert pour le tunnel  (ip '1' et '2' a chaque extrimité du tunnel) et tout le reste quie sert sur le LAN:

Internet -- A:B:C:D::1/64 -- tunnel sur ipv4 ---  A:B:C:D::2/64 -(he-ipv6) ton routeur (lan) -- tout le reste de  A:B:C:D::/64

Si IPv6 te donnes mal a la tête reste en la si ca marche. 

Sinon c'est a peine plus compliqué a configurer et il faut demander un /48 a HE (juste en dessous de la ligne 'routed/64') et faire:

Internet -- A:B:C:D::1/64 -- tunnel sur ipv4 ---  A:B:C:D::2/64 -(he-ipv6) ton routeur (lan) -- X:Y:Z:T::/64
Il faut juste changé le prefix en fait et verifier les routes.

Je suppose que tu as fait le test, mais le PC Windows arrive bien a pinger ton serveur en IPv6 ?

Faire des ping avec les adresses locales (dit "link-local" commencants par fe80..) ne sert pas a grand chose dans le cas présent, juste a tester que le lien réseau (ethernet,wifi) marche entre les 2 machines.

La config du poste Windows a l'air ok: il s'est bien configuré sur le bon subnet /64 (avec 2 adresses, une temporaire et une fixe) et sa passerelle par défaut est bien le link-local du routeur.

On dirait vraiment un souci de routage sur le routeur, soit le routage est pas activé (verifie bien par interface) soit c'est ton bridge qui met la zone ou alors le firewall qui bloque le traffic v6 entrant sur le lan (ou le retour) ou y' une boucle quelque part.

Depuis le poste Windows, essai un ping de l'IP du tunnel par exemple ( 2001:470:1f12:9d4::2/64 ) ou de l'IP Lan du routeur (ifconfig lan ou ifconfig eth0, tu devrait voir les 2 avec des ip du subnet /64 et pas que des link-local).

Depuis un poste va sur: http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-traceroute.php (ca va se faire en v4 en principe) et met l'ipv 6 temporaire de ton Windows pour voir ce que ca donne.

6  tserv1.par1.he.net (2001:470:0:7b::2)  14.420 ms  17.535 ms  13.300 ms
 7  jewome62-1-pt.tunnel.tserv10.par1.ipv6.he.net (2001:470:1f12:9d4::2)  25.841 ms  26.668 ms  26.595 ms
 8  tserv1.par1.he.net (2001:470:0:7b::2)  36.169 ms  32.156 ms  39.582 ms

t'as une boucle sur les paquets de retour: ils entrent bien dans le tunnel mais repartent dans l'autre sens au lieu d'aller sur le lan.

regarde la table de routage sur le routeur, il manque une route vers le lan pour 2001:470:1f12:9d4::/64 :
ip -6 route show 2001:470:1f12:9d4::/64 ca affiche quoi?

C'est coherent avec le fait que tu n'as pas d'IP public sur lan et eth0: ton routeur ne s'est pas lui meme autoconfiguré avec le radvd (radvd et routage sont distincts).
C'est normal, car par defaut un routeur (machine qui a ip fordwarding a 1) ne s'autoconfigure pas, il configurer les ip a la main ou forcer l'autoconfig:

sudo sysctl -w net.ipv6.conf.eth0.accept_ra=2
sudo sysctl -w net.ipv6.conf.eth0.autoconf=1
(remplace "eth0" par "lan", ou 'all' mais c'est pas recommandé de mettre 'all').

Ceci fait, le ou les interfaces devrait choper une IP public et  ca devrait mettre a jour le routage tout seul.
sinon tu peux mettre l'ip a la main pour eth0 ou lan (recommandé).

Autre solution est de forcer le routage a la main sans mettre d'ip sur les interfaces lan/eth0 (mais un peu batard comme config).
ip -6 route add tonprefix::/64 eth0

Quelque soit le cas quand tu fais un "ip -6 route show" ca doit afficher 2 lignes pour ton subnet.
du genre:
...
tonprefix::/64 via :: dev tontunnel  proto kernel  metric 256
tonprefix::/64 dev eth0 (ou lan)  proto kernel  metric 256
...
si y'a qu'une ligne ca routera pas le retour vers le lan.