wireguard Проброс ipv6 в Wireguard

[Milov Sergey]

Всех приветствую.

Возникла на днях идея настроить Wireguard-туннель между тремя локациями. Но не просто туннель, а с пробросом протокола ipv6 в этот туннель.

И на этой стадии у меня возникли некоторые сложности.

Дано:

1. Роутер Keenetic Extra KN-1713 - он выступает как сервер Wireguard. На него от провайдера приходит динамический белый IPv4-адрес. Так как провайдер из-коробки не поддерживает IPv6, то было добавлено 6in4 соединение от туннельного брокера ip4market. Локально ipv6 работает - устройства подключенные к роутеру по wifi, доступ в ipv6 имеют.
Также на роутере настроен DDNS-клиент - на случай если IPv4 адрес будет меняться, настроенный DDNS-адрес будет использоваться как эндпойнт для Wireguard-туннеля.
Также хочу отметить, что до Extra стоит еще один роутер ASUS, на котором собственно и настроено подключение от провайдера, и далее уже через WISP идет раздача интернета на Extra. Такая схема работает, по крайней мере IPv4 трафик через Wireguard ходит. 

2. Роутер Keenetic 4G KN-1212. Он будет как клиент. Находится в деревне в 200 км от Москвы. Интернет приходит от местного провайдера по оптике через оптический терминал. Поднято PPPoE соединение. Особенность в том, что IPv4 адрес от провайдера приходит серый, на 10, но также приходит и нативный IPv6. 

3. Телефон на базе Android. Ожидаемо, тоже клиент. Ожидается, что весь IPv4-трафик будет ходить напрямую через оператора (кроме локального), а весь IPv6 трафик - через Wireguard-туннель.

На Extra от брокера приходят такие IPv6:

IPv6-адрес
2a03:e2c0:1bc0::2

IPv6-префикс
2a03:e2c0:1bc0::/48

Шлюз IPv6
::

Из полученного префикса пробую выделить /64 сеть, которую хочу в дальнейшем раздать в туннель. Например, пусть это будет:

2a03:e2c0:1bc0:100::/64

Далее выделяю ipv6 для каждого из устройств:

Адрес сервера (Keenetic Extra): 2a03:e2c0:1bc0:100::1/64

Адрес пира (Keenetic 4G): 2a03:e2c0:1bc0:100::2/128

Адрес пира (Телефон): 2a03:e2c0:1bc0:100::3/128

На роутере-сервере пробую прописать ipv6 так:

однако, получаю ошибку:

prefixes 2a03:e2c0:1bc0:100::/64 and 2a03:e2c0:1bc0::/48 conflict.

далее, 
на keenetic 4g прописываю настройки такие:


проверяю с сервера - второй роутер и телефон пингуются, хотя никакие ресурсы с keenetic 4g не открываются


с телефона же пингуется только сервер
а с keenetic 4g не пингуется ни то, ни другое.

self-test с сервера keenetic extra  и keenetic 4g во вложении в следующем сбщ (согласно описанию из шапки темы)

подозрение следующие:
1. не прописывается префикс на сервере, ссылаясь на то что тот конфликтует с префиксом от 6in4 соединения
2. возможно еще где то мог ошибиться
3. обращался за мнением к ИИ агенту Deepseek, тот говорит что можно попробовать поиграться с ndproxy, но в ndms не нашел параметра nd. Возможно, тут требуется расчехлять OPKG и вручную там все шаманить (как в соседней теме по похожей проблеме, но в итоге я так и не понял, как правильно все настроить)
3. Также ИИ предлагает варианты создать ULA-префикс и далее прописать маршруты до него и до конечных ipv6 адресов клиентов. Пробовал - не помогает. 
4. если пробовать что то пропинговать или кинуть трассировку до внешки с телефона, то трассировка дальше сервера не уходит.

Есть ли какие-нибудь способы пробросить ipv6 в wireguard, воспользовашись штатными средствами UI и CLI системы keenetic OS 4.3.6?  Или идти в сторону OPKG/Entware?