Dans mon routeur ASUS, section firewall, sous-section IPv6, je n'ai que des Inbound Firewall Rules avec adresse remote (que l'on peut laisser en blanc), Local IP, port et protocole. Je n'ai rien d'autre.
"Inbound Firewall Rules", c'est quoi, une règle forward ou input/output ?

C'est bien une règle forward. Mais à voir la doc d'Asus, c'est bien expliqué dans le paragraphe sur IPv6 Firewall.
Donc dans local IP, il faut bien mettre ton addresse GUA alors. A tester la solution de Simon avec les sous-réseaux dans remote et local-ip. Pas sûr que cela soit bien accepté pour local-ip par contre.

sinon installer tailscale dans chaque syno peut resoudre le probleme. c'est dispo dans le magasin d'applications.
c'est le mieux quand les prefix ne sont pas stables (et sans faire de dyndns).

oui, ou bien Remote It (que je préfère à tailscale, mais bon de gustibus et coloribus non es disputandem)

Mais comme je suis flémard, je cherchais la solution qui m'impose la plus faible charge cognitive ;-)

Ce que je tente de faire, c'est de synchroniser deux synology dont un distant et un chez moi, mais avec un parefeu IPv6 (étant chez Starlink, seul IPv6 a une adresse publique)

Sans parefeu, tout fonctionne bien.

Avec le parefeu, j'ai ajouté une règle qui ouvre le port 6690, mais vers quoi ? Si je mets fe80:: suivi de l'adresse interne de mon Synology, ça marche pas. Il semblerait que je doive mettre l'adresse IPv6 entière; mais seulement Starlink en changela partie prefix de temps en temps @MJules me dit que openwrt accepte de ne mettre que la partie interne. Donc je vais tester (pas eu le temps) si Merlin, lui, accepte.

J'ai tord ?

attention, quand je parle de la partie interne de l'adresse, ce n'est pas l'adresse lien local (celle en fe80). Il s'agit des 64 derniers bits de ton adresse publique (GUA).
exemple pour l'adresse 2a01:cb0c:bfef:5621:598c:dffe:fe52:1b62 ; la partie préfixe (qui peut changer chez orange) c'est 2a01:cb0c:bfef:5621 ; le suffixe ou partie interne (qui ne change pas pour ta machine) c'est 598c:dffe:fe52:1b62

openwrt permet de faire des règles de pare feu visant uniquement le suffixe : https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_ipv6_examples#dynamic_prefix_forwarding

Tu ne peux pas utiliser les adresses en fe80 pour tes règles de parefeu, ça ne va pas marcher vu qu'elles n'ont pas d'existence hors de ton réseau local et donc aucun paquet n'arrivera sur ton routeur à destination de ces adresses depuis l'extérieur (la règle ne sera donc jamais utilisée).

le suffixe ou partie interne (qui ne change pas pour ta machine) c'est 598c:dffe:fe52:1b62

Alors attention, c'est sans doute vrai pour un NAS chez Synology (les privacy extensions IPv6 sont désactivées), mais il ne faut pas généraliser. Les ordinateurs de bureau (que ça soit sous macOS, Windows, et certains Linux Desktop) ont généralement cette extension activée, et donc le suffixe change aussi régulièrement (mais du coup à l'initiative de l'OS, pas du FAI).

Bon, merci à tous, car grâce à vous j'y vois plus clair.

Déjà, le problème est le même avec Merlin; ce qui ne m'étonne pas, Merlin est un fork du firmware Asus avec des améliorations.

En fait, l'interface Asus est pas claire, car sur la page du firewall il y a écrit "Local IP" mais quand on fouille plus loin dans les system log > IPv6, c'est bien l'adresse complète qu'il faut mettre, la fameuse GUA.

Et là, ça fonctionne bien.

Mais moi, ça ne m'arrange pas du tout, pour deux raisons:

1) comme je le disais, il arrive que Starlink me change la partie préfix

2) étant passé en mode RAD, je me bat actuellement pour que la fibre arrive enfin chez moi; mais comme Internet est crucial pour mon boulot (je fais des zoom le matin avec l'Australie et l'après-midi avec les US), je vais garder Starlink en Fail-over; ça va donc faire une raison de plus de voir le préfix changer en cas de panne...

Donc je me vois mal aller dans mon routeur à chaque fois, et changer les règles de parefeu...

Alors, j'ai bien compris qu'il fallait abandonner les réflexes IPV4 pour comprendre IPV6.

Mais franchement, je trouve là qu'il y a une singulière régression, non ?

Merci à vous tous en tout cas !

En fait, l'interface Asus est pas claire, car sur la page du firewall il y a écrit "Local IP" mais quand on fouille plus loin dans les system log > IPv6, c'est bien l'adresse complète qu'il faut mettre, la fameuse GUA.

Et là, ça fonctionne bien.

As-tu essayé en mettant juste le sous-réseau et non l'adresse complète ? Il serait intéressant de savoir si cela fonctionne et si oui jusqu'à quelle taille de préfixe.