Docker コンテナはサブネットと通信できませんが、Docker ホストは通信できます。パケットがドロップされている場所を見つけるにはどうすればよいでしょうか?

IPv6 経由で VPN (openvpn) 上のデバイスと通信する必要がある Docker コンテナのセットアップがあります。これは、Docker ネットワークとホスト上の tap0 インターフェイスの間にブリッジを構築することによって行われます。

エンド デバイスはメッセージを Docker コンテナーにプッシュし、確認応答メッセージを受信することを期待します。ただし、これらは異なるサブネット上にあり、コンテナーとホストはサブネットにありbbbb::/64、デバイスはabcd::/64(説明のため) にあります。1 つのサブネットから別のサブネットにトラフィックをルーティングするゲートウェイがありbbbb::abcd:2、Docker ホストにはこのためのゲートウェイ構成があります。

明確に言うと:

bbbb::4001 <--> bbbb::2105 <--> bbbb::abcd:2 <--> abcd::/64

はbbbb::4001コンテナのアドレス、bbbb::2105はホストのアドレス、bbbb::abcd2はゲートウェイ デバイスのアドレス、abcd::/64はエンド デバイスが配置されているサブネットです。

tsharkホストとゲートウェイで を使用すると、次のことが観察されます。

1. ホストは abcd サブネット上のエンド デバイスと直接通信できます (traceroute で確認済み、ホストとゲートウェイ上のパケットを確認できます)。
2. Docker コンテナはゲートウェイと通信できます (ping で確認し、ホストとゲートウェイ上のパケットを確認できました)。
3. Dockerコンテナできなかったabcd サブネット上のエンド デバイスと直接通信します。ホストの通信の場合と同じように、ホスト上のパケットを確認できましたが、ゲートウェイには何も到着しませんでした。

転送されたパケットを許可するようにルールを変更しようとしましたがiptables（たとえば、チェーンのデフォルトポリシーをFORWARDに設定するなどACCEPT）、効果はありませんでした。

この問題はどこを調べればよいのか不明です。Dockerコンテナから、そのコンテナが存在しないサブネット宛てのパケットがドロップされるようです。どこかホスト上で、またはおそらく間違った場所に送信されますが、ホストのbr0インターフェイス上では表示されますが、ゲートウェイに到着することはありません。Docker コンテナが同じサブネット上のものと通信しようとすると、機能します。

どこから探し始めればいいのでしょうか?