Also für mich ist das ja alles "Works as designed".
Unitymedia manipuliert die Pakete durch (höchstwahrscheinlich unnötiges) dauerhaftes Setzen des ECN CE Flags und Apple verwirft diese äußeren Tunnelpakete vollkommen korrekt nach
RFC6040, 4.2. Dort steht nämlich drin:
If the inner ECN field is Not-ECT and the outer ECN field is CE, the decapsulator MUST drop the packet.
Heißt: im Tunnelinneren kein ECN gesetzt, im Tunneläußeren CE gesetzt -> Ab nach /dev/null
Da allerdings kaum (oder auch nie) Pakete ohne CE Flag kommen (wie es nach Auflösung der Congestion normal wäre) werden nahezu 100% dieser Pakete verworfen.
Das Gleiche kann man übrigens auch bei Linux GRE Tunneln beobachten. Die Funktionieren von und nach Unitymedia auch nicht.
Dass es tatsächlich an der Implementierung nach RFC6040 liegt kann man mit einem Linux GRE Tunnel sehr leicht testen, indem man nämlich für die Pakete innerhalb des Tunnels auf dem Endpunkt auf Unitymedia-Seite das ECN Flag auf CE setzt. Laut RFC6040 müssten diese Pakete dann mit CE Flag innen und außen beim Empfänger ankommen. Meine Tests zeigen: Dies ist der Fall.
Schuld ist aus meiner Sicht also ganz klar Unitymedia, die die Pakete manipulieren.
Von einem Bug in Apple's VPN Implementierung kann man unter Berücksichtigung von RFC6040 nicht sprechen.