Update : Workaround trouvé (merci @skid9000 de m'avoir mis sur la piste) pour corriger le non respect d'OVH de la RFC4638 permettant PMTUD.

/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=pppoe-ovh passthrough=yes protocol=tcp tcp-flags=syn

L'histoire n'est pas finie, il faut encore voir si OVH corrige sa config.

Update 2 : OVH ne bougera pas le moindre orteil pour corriger leur infra. Donc je switch vers Orange Pro sur l'offre 8/2Gbit/s (down/up).

--------------------------------------------------

Hello à tous ! 

Après avoir longuement exploré le forum et testé des configs sans succès, je me lance enfin et sollicite votre expertise en réseau !

Bossant dans le sysadmin/web depuis une dizaine d'années, je ne suis pas expert réseau mais je ne suis pas non-plus débutant total.

J'ai crée un réseau local sympa (je crois qu'on peut dire un homelab) pour mes besoins perso-pro, en 10G à base de routeur Mikrotik RB5009UG+S+ et de Switch CRS309-1G-8S+ (et du Wifi 6E relié en 2.5G et bien-sûr un NAS et un hôte de virtualisation avec des apps cool comme PiHole, Jitsi, Uptime-Kuma, un serveur de jeux...). Cette configuration m'offre une totale liberté, avec une connexion directe au boîtier ONT d'OVH via PPPoE, fonctionnant parfaitement en IPv4.

Cependant, je rencontre un problème avec IPv6 avec mes tentatives de configuration : j'arrive éventuellement à fiablement pinger des adresses IPv6 ou accéder à certaines pages web, mais d'autres web résultent en time-outs sans explication.

Des sites comme https://ipv6-test.com/ affichent (quand ils chargent) mon IPv6. Et le non fonctionnement semble random, en tout cas je n'ai pas déterminé la cause. Random, comme tous les tests que j'ai faits car je ne maîtrise pas IPv6 au point de pouvoir avancer sans aucune documentation. Car malgré des heures de recherche y-compris sur ce forum, je n'ai rien trouvé qui semble s'appliquer à mon cas. Mais peut-être que je cherche mal ou que j'ai trop de lacunes sur IPv6 (chaque fois que je creuse davantage IPv6 j'ai l'impression de ne connaître que 2% de ce qu'il faut savoir).

La seule doc officielle OVH trouvée pour les connexions type "Kosc" est celle-ci https://help.ovhcloud.com/csm/fr-internet-access-router-manual-configuration?id=kb_article_view&sysparm_article=KB0059164
C'est un peu léger en ce qui me concerne...

Une possibilité est que ma conf soit tout à fait correcte mais qu'il y aie un souci côté OVH. Mais avant de partir sur cette hypothèse et de me retrouver face au support qui me dira forcément "le problème vient de votre configuration, nous sommes parfaits", j'aimerais pouvoir m'assurer d'appliquer une configuration correcte.

Ma question est donc la suivante :
Existe-t-il une quelconque documentation sur laquelle s'appuyer pour configurer IPv6 correctement OVH FTTH sur routeur Mikrotik ?
Et si non, en existe-t-il d'autres qu'on puisse extrapoler ?

Je peux partager mes tentatives de configuration si ça aide, mais je préférerais toutefois partir d'une base sûre.

Merci par avance pour votre aide. 

Merci beaucoup pour ta réponse @Zeda !
Je te confirme que ça aide.

J'ai également un ami qui a fait fonctionner Mikrotik avec une config similaire avec Orange, je me suis pas mal appuyé sur ses réglages et ce que je sais des tiens.

Je pense avoir trouvé une conf fonctionnelle... Et je l'avais sûrement déjà trouvée avant vu que j'ai vraiment testé toutes les confs possibles et imaginables... Sauf que... J'ai compris un truc fondamental : Le problème semble être un problème d'interco en IPv6 TCP avec certains providers de réseau.

CF le ticket que je viens d'ouvrir à OVH.

Il est impossible de communiquer en TCP en IPv6 avec certaines fournisseurs de réseau depuis ma connexions OVH FTTH.

Dans la mesure où certains fournisseurs fonctionnent et d'autres pas, cela suggère que ma config est bonne mais qu'un problème de routage existe dans l'infra OVH. ICMP ne pose strictement aucun problème peu importe la source/destination. Mais TCP ne passe pas du tout avec certains fournisseurs alternatifs (les plus gros fonctionnent mais pas les plus petits).

Exemples de fournisseurs OK en TCP IPv6 :
OVH
CloudFlare
Google / Google Cloud
Facebook
Amazon

Exemples de fournisseurs inaccessibles en TCP IPv6 :
Hetzner
Scaleway
Ikoula

Exemples de sites/domaines inaccessibles :
https://ip.lafibre.info
https://www.lrob.fr

Traceroute de Hetzner vers mon IPv6 :

1) Classique via ICMP

root@ds ~ # traceroute6 2001:41d0:fc02:1f03::1
traceroute to 2001:41d0:fc02:1f03::1 (2001:41d0:fc02:1f03::1), 30 hops max, 80 byte packets
 1  2a01:4f8::a:17:a (2a01:4f8::a:17:a)  2.323 ms  2.232 ms  2.328 ms
 2  core23.fsn1.hetzner.com (2a01:4f8:0:3::165)  0.592 ms 2a01:4f8:0:3::531 (2a01:4f8:0:3::531)  4.623 ms  4.608 ms
 3  2a01:4f8:0:3::4d2 (2a01:4f8:0:3::4d2)  4.963 ms 2a01:4f8:0:3::4da (2a01:4f8:0:3::4da)  4.947 ms core1.fra.hetzner.com (2a01:4f8:0:3::4c6)  4.932 ms
 4  core8.fra.hetzner.com (2a01:4f8:0:3::315)  5.145 ms core9.fra.hetzner.com (2a01:4f8:0:3::2fa)  5.130 ms core9.fra.hetzner.com (2a01:4f8:0:3::34e)  5.115 ms
 5  ae101.fra-fr5-pb1-ptx.de.eu (2001:41d0::580)  5.216 ms *  5.184 ms
 6  2001:41d0:aaaa:100::7 (2001:41d0:aaaa:100::7)  31.257 ms 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5)  17.853 ms 2001:41d0:aaaa:100::7 (2001:41d0:aaaa:100::7)  41.304 ms
 7  2001:41d0:aaaa:100::11 (2001:41d0:aaaa:100::11)  20.348 ms 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5)  28.985 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  12.357 ms
 8  2001:41d0:aaaa:100::6 (2001:41d0:aaaa:100::6)  5.740 ms * *
 9  be101.sbg-g1-nc5.fr.eu (2001:41d0::444)  8.378 ms * *
10  * be103.par-th2-sbb1-nc5.fr.eu (2001:41d0::447)  14.219 ms *
11  * be302.par-gsw-pb2-nc5.fr.eu (2001:41d0::25c7)  14.040 ms *
12  th2-dsl2-n93.fr.eu (2001:41d0::2432)  14.416 ms  14.423 ms th2-dsl1-a1.fr.eu (2001:41d0::b76)  14.186 ms
13  2001:41d0:fde0:80::121 (2001:41d0:fde0:80::121)  14.428 ms 2001:41d0:fde0:80::123 (2001:41d0:fde0:80::123)  14.442 ms 2001:41d0:fde0:80::125 (2001:41d0:fde0:80::125)  14.367 ms
14  * * 2001:41d0:fc02:1f03::1 (2001:41d0:fc02:1f03::1)  26.046 ms

2) En TCP forcé

root@ds ~ # traceroute6 -T 2001:41d0:fc02:1f03::1
traceroute to 2001:41d0:fc02:1f03::1 (2001:41d0:fc02:1f03::1), 30 hops max, 80 byte packets
 1  2a01:4f8::a:17:a (2a01:4f8::a:17:a)  0.446 ms  0.424 ms  0.527 ms
 2  core23.fsn1.hetzner.com (2a01:4f8:0:3::165)  0.404 ms core22.fsn1.hetzner.com (2a01:4f8:0:3::545)  0.397 ms  0.503 ms
 3  2a01:4f8:0:3::4e2 (2a01:4f8:0:3::4e2)  5.054 ms  4.911 ms 2a01:4f8:0:3::4de (2a01:4f8:0:3::4de)  4.905 ms
 4  core9.fra.hetzner.com (2a01:4f8:0:3::2fa)  5.190 ms core8.fra.hetzner.com (2a01:4f8:0:3::52)  5.183 ms core8.fra.hetzner.com (2a01:4f8:0:3::7e)  5.176 ms
 5  ae101.fra-fr5-pb1-ptx.de.eu (2001:41d0::580)  5.168 ms * *
 6  2001:41d0:aaaa:100::9 (2001:41d0:aaaa:100::9)  24.653 ms 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5)  41.570 ms 2001:41d0:aaaa:100::11 (2001:41d0:aaaa:100::11)  25.976 ms
 7  2001:41d0:aaaa:100::7 (2001:41d0:aaaa:100::7)  26.651 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  21.476 ms 2001:41d0:aaaa:100::11 (2001:41d0:aaaa:100::11)  13.612 ms
 8  2001:41d0:aaaa:100::12 (2001:41d0:aaaa:100::12)  5.864 ms * *
 9  be101.sbg-g2-nc5.fr.eu (2001:41d0::44a)  8.235 ms be101.sbg-g1-nc5.fr.eu (2001:41d0::444)  8.199 ms be101.sbg-g2-nc5.fr.eu (2001:41d0::44a)  8.162 ms
10  * be103.par-gsw-sbb1-nc5.fr.eu (2001:41d0::44d)  14.373 ms *
11  * * *
12  th2-dsl2-n93.fr.eu (2001:41d0::2432)  14.392 ms  14.500 ms th2-dsl1-a1.fr.eu (2001:41d0::b74)  14.366 ms
13  2001:41d0:fde0:80::121 (2001:41d0:fde0:80::121)  14.445 ms * *
14  * * *
[...]
30  * * *


Cela pourrait être lié au problème que j'ai déjà observé et que vous n'avez pas résolu avec le subnet additionnel où 10 à 20% des paquets étaient perdu, avec pour cause selon moi un problème de mixed routing sur vos équipements. Vous aviez suggéré que le souci provenait de mes équipements et je n'en suis toujours pas convaincu car ma config est simple et standard et reproduite sur plusieurs types de routeurs avec de nombreux essais de configuration.

Voilà... Plausible mon diagnostic selon vous ?

Merci pour le feedback @bugmenot

Donc le souci n'est pas global chez OVH. Sais-tu si comme moi tu passes par Kosc et terminaison Orange ? (un indicateur simple est ton identifiant PPPoE qui contient "Kosc" ou non)
Aussi, je suppose que la localité peut avoir un impact sur les routes, de mon côté je suis d'Orléans.

Le même test chez moi :

lr@lr-desktop:~$ host ip.lafibre.info
ip.lafibre.info has address 51.158.154.169
ip.lafibre.info has IPv6 address 2001:bc8:1600:4:63f:72ff:feaf:a2de

lr@lr-desktop:~$ curl -6 ip.lafibre.info
#(ça n'abouti jamais donc j'annule avec ctrl +c)
^C

lr@lr-desktop:~$ curl -6 ifconfig.me
2001:41d0:fc02:1f04[...]]

Je vois pas trop comment un tel souci pourrait venir de ma configuration... A ce stade je suis parvenu à avoir un comportement parfaitement normal sur tous les points (attributions d'IP, détection des neighbors qui ne sont plus en erreur sur le routeur, ping OK de toutes les IP testées, accès HTTP(s) IPv6 de la plupart des sites...). Je suis convaincu que le souci vient d'OVH.


Cependant, voici ma conf Mikrotik complète au cas où, que j'ai repassée au peigne fin plusieurs fois mais qui sait... :
(Pour info j'ai déjà tenté en désactivant mes règles NAT IPv4, en désactivant toute règle de drop firewall IPv4 et IPv6, en activant/désactivant l'encryption PPPoE -> même comportement.)

# 2024-03-09 10:34:25 by RouterOS 7.14
# software id = Y9Q5-Q5D5
#
# model = RB5009UG+S+
# serial number = HE708[HIDDEN]
/interface bridge
add admin-mac=48:A9:8A:[HIDDEN] auto-mac=no comment=defconf name=bridge port-cost-mode=short
/interface ethernet
set [ find default-name=ether1 ] name=ether1-2.5G
set [ find default-name=ether2 ] name=ether2_Servers
set [ find default-name=ether8 ] name=ether8-1G_WAN
set [ find default-name=sfp-sfpplus1 ] name=sfpplus
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] disabled=yes
/ip pool
add name=dhcp ranges=192.168.1.65-192.168.1.250
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=5m name=defconf
/ipv6 dhcp-server
add address-pool="" interface=bridge lease-time=1h name=LAN_v6
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether8-1G_WAN name=pppoe-ovh profile=default-encryption use-peer-dns=\
    yes user=[HIDDEN]@ovh.kosc
/interface bridge port
add bridge=bridge comment=defconf interface=ether2_Servers internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether3 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether4 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether5 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether6 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether7 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=sfpplus internal-path-cost=10 path-cost=10
add bridge=bridge interface=ether1-2.5G internal-path-cost=10 path-cost=10
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=LAN lldp-med-net-policy-vlan=1
/ipv6 settings
set accept-router-advertisements=yes
/interface detect-internet
set detect-interface-list=WAN internet-interface-list=WAN lan-interface-list=LAN wan-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment="OVH WAN" interface=pppoe-ovh list=WAN
add comment="OVH WAN PPPoE" interface=ether8-1G_WAN list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-server lease
add address=192.168.1.30 comment="Philips Hue Hub1" mac-address=EC:B5:FA:[HIDDEN] server=defconf
add address=192.168.1.25 client-id=1:0:bb:c1:[HIDDEN] comment="Imprimante Canon" mac-address=00:BB:C1:[HIDDEN] \
    server=defconf
add address=192.168.1.64 client-id=1:80:61:5f:[HIDDEN] comment="Main PC SFP+" mac-address=80:61:5F:[HIDDEN] server=\
    defconf
add address=192.168.1.33 comment="Meross Plug3" mac-address=48:E1:E9:[HIDDEN] server=defconf
add address=192.168.1.32 comment="Meross Plug2" mac-address=48:E1:E9:[HIDDEN] server=defconf
add address=192.168.1.31 comment="Meross Plug1" mac-address=48:E1:E9:[HIDDEN] server=defconf
add address=192.168.1.62 client-id=1:8:16:d5:[HIDDEN] comment=Pico4 mac-address=08:16:D5:[HIDDEN] server=defconf
add address=192.168.1.60 client-id=1:8a:4b:59:[HIDDEN] comment="Mi 9T Pro" mac-address=8A:4B:59:[HIDDEN] server=\
    defconf
add address=192.168.1.2 client-id=1:78:9a:18:[HIDDEN] comment="CRS309 SW10G_01" mac-address=78:9A:18:[HIDDEN] server=\
    defconf
add address=192.168.1.10 client-id=ff:a9:7a:36:[HIDDEN] comment="NAS 10G" \
    mac-address=64:9D:99:[HIDDEN] server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.254 gateway=192.168.1.1 netmask=24 next-server=\
    192.168.1.254
/ip dns
set allow-remote-requests=yes cache-max-ttl=30s cache-size=4096KiB query-total-timeout=4s servers=192.168.1.254
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall address-list
add address=109.190.121.43 comment="OVH 109.190.121.43" list=WAN-IP
/ip firewall filter
add action=accept chain=input comment="Defconf accept related established" connection-state=established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related \
    hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin LAN" disabled=yes dst-address=192.168.1.0/24 src-address=\
    192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=WAN
add action=dst-nat chain=dstnat comment="NAS FTP backups" disabled=yes dst-address-list=WAN-IP dst-port=2121 \
    protocol=tcp to-addresses=192.168.1.10
add action=dst-nat chain=dstnat comment="FTP Backup passive ports" disabled=yes dst-address-list=WAN-IP dst-port=\
    49152-65534 protocol=tcp to-addresses=192.168.1.10
add action=dst-nat chain=dstnat comment="Web reverse proxy" disabled=yes dst-address-list=WAN-IP dst-port=443 \
    protocol=tcp to-addresses=192.168.1.254
add action=dst-nat chain=dstnat comment="Web reverse proxy" disabled=yes dst-address-list=WAN-IP dst-port=80 \
    protocol=tcp to-addresses=192.168.1.254
add action=dst-nat chain=dstnat comment="Web Jitsi UDP" disabled=yes dst-address-list=WAN-IP dst-port=10000,3478 \
    protocol=udp to-addresses=192.168.1.254
add action=dst-nat chain=dstnat comment="Jitsi TCP fallback" disabled=yes dst-address-list=WAN-IP dst-port=5349,5350 \
    protocol=tcp to-addresses=192.168.1.254
add action=dst-nat chain=dstnat comment="Game server DMZ" disabled=yes dst-address-list=WAN-IP to-addresses=\
    192.168.1.16
/ip ipsec policy
set 0 disabled=yes
/ip tftp
add ip-addresses=192.168.1.254 real-filename=/netboot.xyz/netboot.xyz.efi req-filename=.*
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-ovh type=external
add interface=bridge type=internal
/ipv6 address
add address=::1 from-pool=ovh-v6 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-ovh pool-name=ovh-v6 request=prefix use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp \
    src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 nd
set [ find default=yes ] managed-address-configuration=yes other-configuration=yes ra-interval=20s-1m
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=home.lrob.net
/system note
set show-at-login=no
/tool graphing interface
add allow-address=192.168.1.0/24
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Si c'est imbuvable je peux éditer ça pour ne laisser que les infos IPv6.
(Mon IP publique est vraiment publique pour le coup, j'héberge des services, donc pas de souci à l'afficher)

Voici aussi les IPv6 attribuées (la /64 publique sur le bridge est la seule que j'ai ajoutée manuellement, sans elle la connexion IPv6 ne fonctionne pas)



Et enfin les routes IPv6 push par PPPoE



Pour la science 

Merci @bugmenot

Comme indiqué précédemment le ping est toujours OK vers toutes les IPv6 testées.
Mais on sait que les routes peuvent différer en fonction du protocole et du port... Si ICMP passe, ça ne veut pas dire que TCP ou SYN passe.

lr@lr-desktop:~$ ping6 ip.lafibre.info
PING ip.lafibre.info(fr.archive.ubuntu.com (2001:bc8:1600:4:63f:72ff:feaf:a2de)) 56 data bytes
64 bytes from fr.archive.ubuntu.com (2001:bc8:1600:4:63f:72ff:feaf:a2de): icmp_seq=1 ttl=49 time=22.1 ms
64 bytes from fr.archive.ubuntu.com (2001:bc8:1600:4:63f:72ff:feaf:a2de): icmp_seq=2 ttl=49 time=22.1 ms
64 bytes from fr.archive.ubuntu.com (2001:bc8:1600:4:63f:72ff:feaf:a2de): icmp_seq=3 ttl=49 time=22.3 ms
^C
--- ip.lafibre.info ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 22.120/22.186/22.293/0.075 ms

D'ailleurs, fait intéressant, j'arrive à faire un curl -4 et -6 sur mon domaine (hébergé chez Hetzner) en HTTP mais pas en HTTPS...

lr@lr-desktop:~$ curl -4 http://lrob.fr
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved here.</p>

---

<address>Apache Server at lrob.fr Port 80</address>
</body></html>
lr@lr-desktop:~$ curl -6 http://lrob.fr
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved here.</p>

---

<address>Apache Server at lrob.fr Port 80</address>
</body></html>

lr@lr-desktop:~$ curl -6 https://lrob.fr
^C

Par contre sur ip.lafibre.info, aucun succès, ni en HTTP ni en HTTPS.

lr@lr-desktop:~$ curl -6 http://ip.lafibre.info
^C
lr@lr-desktop:~$ curl -6 https://ip.lafibre.info
^C

Via telnet -6, les outputs sont intéressants, on voit que j'ai quand même une réponse invalide sur port 80, mais pas sur port 443, ce que ce soit sur mon site ou sur ip.lafibre.info

lr@lr-desktop:~$ telnet -6 lrob.fr 80
Trying 2a01:4f8:171:28e8::2...
Connected to lrob.fr.
Escape character is '^]'.
exit
HTTP/1.1 400 Bad Request
Date: Sat, 09 Mar 2024 15:57:43 GMT
Server: Apache
Content-Length: 283
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.

</p>

---

<address>Apache Server at default Port 80</address>
</body></html>
Connection closed by foreign host.

lr@lr-desktop:~$ telnet -6 lrob.fr 443
Trying 2a01:4f8:171:28e8::2...
Connected to lrob.fr.
Escape character is '^]'.
exit
Connection closed by foreign host.

lr@lr-desktop:~$ telnet -6 ip.lafibre.info 80
Trying 2001:bc8:1600:4:63f:72ff:feaf:a2de...
Connected to ip.lafibre.info.
Escape character is '^]'.
exit
HTTP/1.1 400 Bad Request
Date: Sat, 09 Mar 2024 15:58:41 GMT
Server: Apache
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.

</p>
</body></html>
Connection closed by foreign host.

lr@lr-desktop:~$ telnet -6 ip.lafibre.info 443
Trying 2001:bc8:1600:4:63f:72ff:feaf:a2de...
Connected to ip.lafibre.info.
Escape character is '^]'.
exit
Connection closed by foreign host.

Tandis qu'avec un site qui passe par CloudFlare, j'ai bien un retour même sur port 443 :

lr@lr-desktop:~$ telnet -6 chat.openai.com 443
Trying 2606:4700:4400::6812:25e4...
Connected to chat.openai.com.cdn.cloudflare.net.
Escape character is '^]'.
exit
HTTP/1.1 400 Bad Request
Server: cloudflare
Date: Sat, 09 Mar 2024 16:07:31 GMT
Content-Type: text/html
Content-Length: 155
Connection: close
CF-RAY: -

<html>
<head><title>400 Bad Request</title></head>
<body>
<center><h1>400 Bad Request</h1></center>

---

<center>cloudflare</center>
</body>
</html>
Connection closed by foreign host

Je vois difficilement comment une règle firewall de mon côté pourrait être la cause.

Une petite comparaison de traceroute6 et traceroute6 -T (TCP) pourrait peut-être utile ?
J'ai tenté sur différents ports pour voir avec -p mais ça ne semble pas mettre le souci en évidence.

Mon domaine sur port 80 et 443 :

lr@lr-desktop:~$ sudo traceroute6 -T -p 80 lrob.fr
[sudo] password for lr:
traceroute to lrob.fr (2a01:4f8:171:28e8::2), 30 hops max, 80 byte packets
 1  2001:41d0:fc02:1f04::1 (2001:41d0:fc02:1f04::1)  0.447 ms  0.346 ms  0.318 ms
 2  2001:41d0:fde0::28 (2001:41d0:fde0::28)  12.533 ms  12.751 ms  12.752 ms
 3  fd00::145:239:153:165 (fd00::145:239:153:165)  12.986 ms  12.882 ms  12.847 ms
 4  * * *
 5  2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5)  28.651 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  34.768 ms 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5)  28.115 ms
 6  2001:41d0:aaaa:100::13 (2001:41d0:aaaa:100::13)  34.036 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  26.911 ms  26.107 ms
 7  2001:41d0:aaaa:100::4 (2001:41d0:aaaa:100::4)  13.618 ms * 2001:41d0:aaaa:100::6 (2001:41d0:aaaa:100::6)  13.211 ms
 8  * * *
 9  * be105.fra-fr5-sbb2-nc5.de.eu (2001:41d0::44b)  21.382 ms *
10  ae310.fra-fr5-pb1-ptx.de.eu (2001:41d0::2631)  20.914 ms  21.118 ms  20.813 ms
11  hetzner.as24940.de.eu (2001:41d0::581)  21.651 ms hetznr.as24940.de.eu (2001:41d0::2595)  20.865 ms hetzner.as24940.de.eu (2001:41d0::581)  21.642 ms
12  core5.fra.hetzner.com (2a01:4f8:0:3::31a)  21.622 ms core4.fra.hetzner.com (2a01:4f8:0:3::2fd)  21.480 ms  21.608 ms
13  core23.fsn1.hetzner.com (2a01:4f8:0:3::4b9)  26.504 ms core24.fsn1.hetzner.com (2a01:4f8:0:3::4c9)  26.311 ms core22.fsn1.hetzner.com (2a01:4f8:0:3::4e5)  25.939 ms
14  ex9k1.dc8.fsn1.hetzner.com (2a01:4f8:0:3::166)  26.401 ms  26.120 ms ex9k1.dc8.fsn1.hetzner.com (2a01:4f8:0:3::16a)  25.889 ms
15  ds.lrob.net (2a01:4f8:171:28e8::2)  26.144 ms  26.328 ms  26.611 ms

lr@lr-desktop:~$ sudo traceroute6 -T -p 443 lrob.fr
traceroute to lrob.fr (2a01:4f8:171:28e8::2), 30 hops max, 80 byte packets
 1  2001:41d0:fc02:1f04::1 (2001:41d0:fc02:1f04::1)  0.449 ms  0.353 ms  0.370 ms
 2  2001:41d0:fde0::28 (2001:41d0:fde0::28)  12.991 ms  12.544 ms  13.075 ms
 3  fd00::145:239:153:165 (fd00::145:239:153:165)  13.141 ms  12.771 ms  13.112 ms
 4  * * *
 5  2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5)  31.583 ms 2001:41d0:aaaa:100::9 (2001:41d0:aaaa:100::9)  19.203 ms 2001:41d0:aaaa:100::13 (2001:41d0:aaaa:100::13)  21.752 ms
 6  2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  39.516 ms 2001:41d0:aaaa:100::7 (2001:41d0:aaaa:100::7)  36.149 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  27.874 ms
 7  2001:41d0:aaaa:100::12 (2001:41d0:aaaa:100::12)  13.416 ms * *
 8  * be102.sbg-g1-nc5.fr.eu (2001:41d0::446)  18.956 ms *
 9  * * be105.fra-fr5-sbb2-nc5.de.eu (2001:41d0::44b)  21.931 ms
10  ae304.fra-fr5-pb1-ptx.de.eu (2001:41d0::262f)  21.303 ms ae310.fra-fr5-pb1-ptx.de.eu (2001:41d0::2631)  20.849 ms 2001:41d0::27d1 (2001:41d0::27d1)  23.596 ms
11  hetznr.as24940.de.eu (2001:41d0::2595)  21.060 ms hetzner.as24940.de.eu (2001:41d0::581)  21.271 ms hetznr.as24940.de.eu (2001:41d0::2595)  20.949 ms
12  core4.fra.hetzner.com (2a01:4f8:0:3::2fd)  21.517 ms core1.fra.hetzner.com (2a01:4f8:0:3::7d)  21.369 ms core4.fra.hetzner.com (2a01:4f8:0:3::51)  21.888 ms
13  core21.fsn1.hetzner.com (2a01:4f8:0:3::4d5)  25.866 ms  25.975 ms core22.fsn1.hetzner.com (2a01:4f8:0:3::4e1)  25.810 ms
14  2a01:4f8:0:3::546 (2a01:4f8:0:3::546)  26.450 ms 2a01:4f8:0:3::532 (2a01:4f8:0:3::532)  25.916 ms ex9k1.dc8.fsn1.hetzner.com (2a01:4f8:0:3::166)  26.531 ms
15  ds.lrob.net (2a01:4f8:171:28e8::2)  26.072 ms  26.019 ms  26.307 ms

VS ip.lafibre.info

lr@lr-desktop:~$ sudo traceroute6 -T -p 80 ip.lafibre.info
traceroute to ip.lafibre.info (2001:bc8:1600:4:63f:72ff:feaf:a2de), 30 hops max, 80 byte packets
 1  2001:41d0:fc02:1f04::1 (2001:41d0:fc02:1f04::1)  0.388 ms  0.366 ms  0.303 ms
 2  2001:41d0:fde0::28 (2001:41d0:fde0::28)  12.534 ms  12.398 ms  12.515 ms
 3  fd00::145:239:153:165 (fd00::145:239:153:165)  13.165 ms  13.256 ms  12.938 ms
 4  * * *
 5  2001:41d0:aaaa:100::11 (2001:41d0:aaaa:100::11)  26.336 ms  45.628 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  35.030 ms
 6  2001:41d0:aaaa:100::11 (2001:41d0:aaaa:100::11)  35.453 ms 2001:41d0:aaaa:100::13 (2001:41d0:aaaa:100::13)  31.722 ms  31.640 ms
 7  2001:41d0:aaaa:100::12 (2001:41d0:aaaa:100::12)  13.239 ms *  13.663 ms
 8  be102.rbx-g2-nc5.fr.eu (2001:41d0::c70)  16.958 ms be103.rbx-g4-nc5.fr.eu (2001:41d0::25e9)  17.015 ms *
 9  be102.ams-gsa1-sbb1-nc5.nl.eu (2001:41d0::25f4)  22.057 ms be101.ams-gsa1-sbb1-nc5.nl.eu (2001:41d0::61d)  21.862 ms  21.864 ms
10  ae300.ams-ams9-pb1-ptx.nl.eu (2001:41d0::2743)  21.758 ms ae301.ams-ams9-pb1-ptx.nl.eu (2001:41d0::2745)  21.354 ms  21.953 ms
11  scaleway.as12876.nl.eu (2001:41d0::2783)  22.062 ms * *
12  2001:bc8:1400:2::2 (2001:bc8:1400:2::2)  23.336 ms * *
13  * 2001:bc8:400:100::b8 (2001:bc8:400:100::b8)  22.571 ms *
14  2001:bc8:1400:1::9 (2001:bc8:1400:1::9)  23.138 ms  22.706 ms  22.340 ms
15  fr.archive.ubuntu.com (2001:bc8:1600:4:63f:72ff:feaf:a2de)  22.638 ms  22.212 ms  22.460 ms

lr@lr-desktop:~$ sudo traceroute6 -T -p 443 ip.lafibre.info
traceroute to ip.lafibre.info (2001:bc8:1600:4:63f:72ff:feaf:a2de), 30 hops max, 80 byte packets
 1  2001:41d0:fc02:1f04::1 (2001:41d0:fc02:1f04::1)  0.413 ms  0.284 ms  0.358 ms
 2  2001:41d0:fde0::28 (2001:41d0:fde0::28)  12.694 ms  12.571 ms  12.381 ms
 3  fd00::145:239:153:165 (fd00::145:239:153:165)  13.293 ms  12.947 ms  13.075 ms
 4  be51.par-gsw-pb2-nc5.fr.eu (2001:41d0::2437)  18.958 ms * *
 5  2001:41d0:aaaa:100::7 (2001:41d0:aaaa:100::7)  22.894 ms  27.164 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  29.422 ms
 6  2001:41d0:aaaa:100::7 (2001:41d0:aaaa:100::7)  44.165 ms 2001:41d0:aaaa:100::9 (2001:41d0:aaaa:100::9)  33.271 ms 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  33.114 ms
 7  2001:41d0:aaaa:100::4 (2001:41d0:aaaa:100::4)  13.952 ms 2001:41d0:aaaa:100::10 (2001:41d0:aaaa:100::10)  13.316 ms 2001:41d0:aaaa:100::6 (2001:41d0:aaaa:100::6)  13.498 ms
 8  be102.rbx-g2-nc5.fr.eu (2001:41d0::c70)  16.981 ms be103.rbx-g3-nc5.fr.eu (2001:41d0::25e7)  16.934 ms be102.rbx-g2-nc5.fr.eu (2001:41d0::c70)  17.245 ms
 9  be101.ams-gsa1-sbb1-nc5.nl.eu (2001:41d0::61d)  22.545 ms  22.373 ms be102.ams-gsa1-sbb1-nc5.nl.eu (2001:41d0::25f4)  22.083 ms
10  ae301.ams-ams9-pb1-ptx.nl.eu (2001:41d0::2745)  21.441 ms  21.512 ms  21.422 ms
11  scaleway.as12876.nl.eu (2001:41d0::2783)  21.916 ms  21.477 ms  22.216 ms
12  * 2001:bc8:1400:2:: (2001:bc8:1400:2:  23.207 ms *
13  2001:bc8:400:100::b6 (2001:bc8:400:100::b6)  22.681 ms * 2001:bc8:400:100::b8 (2001:bc8:400:100::b8)  22.332 ms
14  2001:bc8:1400:1::9 (2001:bc8:1400:1::9)  23.100 ms  22.630 ms  23.143 ms
15  fr.archive.ubuntu.com (2001:bc8:1600:4:63f:72ff:feaf:a2de)  22.141 ms  22.265 ms  22.498 ms

Mon firewall, c'est les règles par défaut IPv6 de Mikrotik qui drop juste le trafic invalide. J'ai tenté de désactiver toutes les "DROP" rules sans amélioration.

Mon "Actual MTU" est bien à 1492 sur le PPPoE (il se met automatiquement). Sur le bridge, donc mon réseau local, il est à 1500 (et 1514 pour le L2 MTU), c'est la valeur standard et par défaut qui ne pose aucun souci en IPv4. Si c'était le problème, pourquoi n'aurait-il lieu que en IPv6 vers certaines destinations de certains fournisseurs réseau ? Pour moi ça n'aurait pas de sens de chercher là tant que le MTU du PPPoE est bon.

Pour l'utilisation d'un autre routeur :
Quand j'avais tenté sous OpenSense et PFSense en début 2023, j'avais le même genre de soucis incompréhensibles. Mais je ne me souviens plus de la conf IPv6 que j'avais tenté à l'époque... Par contre j'avais aussi du packet drop sur le /29 IP additionnel, raison pour laquelle j'ai pris un Mikrotik qui a montré exactement le même problème... Dans un dernier recours je pourrais réessayer mon serveur PFSense, mais je vais déjà voir si OVH répond au ticket car je sais que c'est au moins 4h à tester alors que le souci vient probablement d'eux.

Après je viens d'acquérir un TP-Link Deco Mesh (XE75 Pro) qui fait routeur et gère le PPPoE, donc ça peut être un test utile et plus rapide, même si ça m'embêterait de devoir le reset et refaire ma conf...

Effectivement, ta conf est ultra simple, ce qui semble indiquer que ton routeur gère des paramètres pour toi. Par exemple le DHCPv6 tu n'as pas de réglage de pool ni de choix de request en mode "info, prefix, address", donc il choisit tout seul.

Pour info, la conclusion que j'avais eue sur le subnet /29 à base d'analyse de wireshark, était qu'OVH faisait du mixed routing sur le subnet en question sur 10 à 20% des paquets, entraînant 10 à 20% de packet drop et de connexions infructueuses... C'est à dire que la route prise par le paquet aller et retour diffère, ce qui est interdit par le protocole TCP et cause le drop du paquet. Mon intuition est qu'ils ont exactement ce même problème en IPv6, en tout cas sur ma ligne.

bonjour,

vu que tu as une connectivité IPv6 et qu'il n'y a que vers certains serveurs que ça bloque, ça sent le "blocage" de la plage IPv6 chez les destinataires.
Peut être que cette plage était "flagguée" Datacenter avant et qu'ils n'ont pas mis à jour.

Un truc bizarre, sous Linux j'ai tenté un pppoe-discovery, puis sous Mikrotik un PPPoE Scan (c'est pareil), je trouve dans les deux cas deux résultats en "Access Concentrator" :
MAC 06:00:C2:00:00:00
AC Name: 1012.sra8.p44nts.west

MAC: 06:00:87:00:00:00
AC Name: 1008.sra8.p69vnx.rhone-alpes

Avec une recherche Google je trouve deux résultats qui détectent "1008.sra8.p69vnx.rhone-alpes" sur une image. (et comme par hasard ça pointe encore sur ce forum !  )

https://lafibre.info/ovh-fai/partage-dexperience-ovh-fibre-ftth-1g/
https://lafibre.info/milkywan/milkywan-as57199/432/

N'est-on pas sensés en trouver qu'un seul ? Sur les captures de @Aize147 il n'y en a qu'un, le 1008.sra8.p69vnx.rhone-alpes.

Edit: Sûrement une fausse piste. J'étais sur 1012.sra8.p44nts.west, j'ai tenté de forcer l'autre, pas de changement.