Faut juste mettre les règles FW ? Montre ce que tu as fait

Alor pour le Ping IPv6 de l'UCG Fiber, une règle firewall External -> Gateway, avec les réglages suivants :
- Source : Any
- Action : Allow
- destination Zone : Gateway - Any (ou les adresses spécifiques de l'UCG qui doivent pouvoir répondre)
- IP version IPv6 (évidemment)
- Protocol : custom, sélectionner ICMPv6
- IPv6 ICMP Type name : Echo Request suffit pour un ping, mais d'autres options sont possibles (dont Any) selon les usages
- Connection State : All (bien que je ne pense pas que cela soit valable pour ICMP, mais je laisserai les vrais experts répondre)

Enfin, l'adresse de l'interface LAN est la première du subnet qui lui est attribuée : si le subnet est xxxx:xxxx:xxxx:xxx::/64, l'adresse sera xxxx:xxxx:xxxx:xxx::
Un ifconfig sur l'UCG m'a permis de mieux comprendre comment le tout était assigné.

@fansat70, tout dépend de la règle qui est mise en place, et surtout si je comprends bien, il y a une règle sur la section External -> Gateway qui est générique et qui s'appelle "Allow Return", et telle que je la comprends, elle permet justement de répondre à ce qui est rentré auparavant.

Ne connaissant pas particulièrement l'Unifi, je me pose simplement la question en lisant ceci https://help.ui.com/hc/en-us/articles/27699646208279-UniFi-Gateway-Advanced-Firewall-Rules de savoir si la Gateway ne représenterait pas l'Unifi lui même, et non pas le LAN. Ce qui ferait que le fameux "allow return" ne fonctionnerait pas pour ce qui est "derrière" la gateway... Mais là, l'hypothèse est gratuite! 

Cet article est obsolète car depuis plusieurs versions, Unifi est passé en ZBF (Zone Based Firewall) et donc tout à changé. Sur le nouveau Firewall, Gateway = traffic destiné a la gateway/routeur Unifi lui même. Sauf certaines exceptions, toutes les règles crées ont une case a coché "Allow Return Traffic" pour justement automatiquement créer une règle automatique qui autorise le traffic retour.

La configuration ci-dessus me semble correct à première vue. Je n'ai pas essayé car je n'autorise aucun traffic entrant sauf VPN, mais cela devrait fonctionner sans soucis.

[...] Ce qui ferait que le fameux "allow return" ne fonctionnerait pas pour ce qui est "derrière" la gateway... Mais là, l'hypothèse est gratuite! 

Y a une chiée d'Allow Return par défaut. En particulier External -> Gateway

En dehors des regles d'ouverture du port pour un service y a pas de case "Auto Allow Return Traffic"

Je répète : je penche qu'il y a une règle cachée qui autorise les ping et ping6 depuis "Unifi" sur la gateway et bloque tous les autres. Les ping6 vers des devices internes passent sans soucis. Si tu mets une règle qui les bloque explicitement ça fait cuiner l'UCG qu'il y a des pertes de paquets sur le WAN. Et on sait que cette regle existe parce qu'il n'y a -aucun- journaux "allow" ou "block" pour les ping sur la gateway.