Points de douleur : l’intermittent est pire que le toujours coupé
Douleur 1 : confondre transport et authentification. Quand TCP sature sur une famille d’adresses, on ouvre d’abord authorized_keys. Le correctif est souvent dans les réponses du résolveur, la liaison d’interface ou une règle IPv6 manquante. Les messages SSH arrivent tard dans la poignée : on régénère des clés inutilement pendant des heures.
Douleur 2 : DNS à horizon partagé. Les réseaux d’entreprise publient des couples A/AAAA différents d’Internet public. Un bascule VPN change le chemin ; les clés hôte semblent sauter sans empreintes par voie comme dans l’article known_hosts. Les tickets « ok au bureau, échec à la maison, identifiants inchangés » vont ici.
Douleur 3 : asymétrie pare-feu. Les modèles ouvrent souvent TCP 22 en IPv4 et laissent IPv6 fermé. Les sessions interactives IPv6 réussissent pendant que la CI IPv4-only échoue — ou l’inverse si l’opérateur préfère IPv6. Auditez les règles inet et inet6 par paires.
Douleur 4 : CGNAT et rafales d’upload. L’IPv4 résidentiel peut être derrière un NAT opérateur tandis qu’IPv6 est plus bout-à-bout. Sans hygiène de parallélisme et keepalive, les piles mélangées amplifient les réessais qui heurtent les politiques MaxAuthTries et produisent des journaux ressemblant à du bruteforce.
Douleur 5 : clients hétérogènes. SFTP graphique, SDK et OpenSSH ne choisissent pas toujours la même pile. Standardisez des alias Host explicites pour les noms de production afin que l’automatisation et les humains partagent un chemin documenté.
Modèle de menace et télémétrie : séparer les couches
Enregistrez réponses DNS, latence TCP vers le port 22, timing de bannière SSH et démarrage du sous-système SFTP. Sous macOS Unified Logging, corrélez sshd avec les compteurs du filtre paquets pour ne pas lire l’auth isolément. Si un mesh privé porte déjà la prod, déplacez les uploads sur cette interface et réduisez l’exposition publique double pile.
La double pile double l’exposition si les deux familles n’ont pas les mêmes limites de débit et la même politique de bastion. Collectez hebdomadairement accept/reject par famille. Documentez le résolveur CI contre les portables, surtout en split tunnel VPN, pour éviter les incidents fantômes.
Baselines quantifiées
Les chemins intercontinentaux divergent de dizaines de millisecondes entre piles. Les tentatives parallèles peuvent coûter des centaines de millisecondes à plusieurs secondes quand une pile est en trou noir. Fixez des défauts pour ConnectTimeout et ServerAliveInterval ; traitez d’abord les écarts comme DNS ou routage avant rotation de clés.
Suivez le taux de succès des connexions CI par pile. Une courbe IPv4 plate avec IPv6 qui chute signale souvent un churn FAI, pas une régression applicative. Mesurez connexions à froid et réutilisation ControlMaster : le multiplexage masque les flaps jusqu’à la mort du maître.
Matrice de décision
| Scénario | Approche préférée | Bénéfice | Risque |
|---|---|---|---|
| Nom d’entreprise AAAA-only | AddressFamily inet6 de bout en bout | chemin unique clair | clients legacy → bastion |
| IPv6 amont cassé | alias Host inet temporaire | stabilité immédiate | reprendre quand IPv6 revient |
| Cloud public + NIC privée | uploads via IP privée ou mesh | rayon d’explosion réduit | plus de travail DNS/routage |
| Trafic humain et CI mélangés | principes et blocs Host séparés | moins de verrouillages surprises | plus de surfaces de supervision |
Utilisez la matrice comme portail de gouvernance : chaque ligne a besoin d’un propriétaire DNS, réseau et SSH. Sans propriétaire IPv6, vous livrerez des correctifs IPv4 en boucle parce que les échecs les plus bruyants arrivent d’abord là.
Procédure : du DNS au pare-feu
# Inspecter les réponses DNS
# dig +short A example.remote.mac
# dig +short AAAA example.remote.mac
# Forcer IPv4 pour un alias Host dédié
# Host rm-ipv4
# HostName example.remote.mac
# AddressFamily inet
# Inspecter la configuration sshd effective
# sshd -T | egrep 'listenaddress|port'
# Tester l’atteignabilité par pile depuis plusieurs points
# nc -vz host 22
# nc -6vz host 22
Étape 1 : figer la doc résolveur pendant les fenêtres de changement et capturer le TTL pour ne pas confondre cache périmé et erreur de clé.
Étape 2 : donner à la CI des entrées Host dédiées avec UserKnownHostsFile explicites, en réutilisant les modèles du guide d’épinglage.
Étape 3 : vérifier ListenAddress sur le Mac distant ou l’hôte Linux : lier seulement 0.0.0.0 sans :: fait échouer les clients IPv6.
Étape 4 : séparer les compteurs pare-feu inet / inet6. Zéro d’un côté pendant que l’autre monte est un signal fort.
Étape 5 : tester la charge des uploads avec MaxSessions et les réglages keepalive de l’article SFTP concurrent.
Étape 6 : si l’Internet public reste trop bruyant, basculer le transport vers un bastion ou un mesh et traiter les bizarreries double pile comme dette.
Étape 7 : après changements, lancer une connexion scriptée depuis trois points : bureau, VPN, CI. Stocker des résumés JSON de timings pour transformer les régressions en données.
Étape 8 : former le support : checklist DNS et pare-feu avant de proposer une régénération de clés. Cette habitude réduit fortement le temps moyen vers l’innocence.
Ordre de lecture conseillé
Lisez d’abord cet article, puis known_hosts, SFTP concurrent, MaxAuthTries, ProxyJump et l’accueil pour la capacité.
Les équipes qui intègrent des fermes Apple silicon doivent aussi revoir marge thermique et disque quand le réseau change : des builds plus lents peuvent imiter des problèmes de transfert si les artefacts attendent derrière des CPU saturés.
Notes opérationnelles étendues pour équipes mixtes
Les équipes plateforme héritent souvent de zones DNS optimisées pour HTTP, pas pour des sessions SSH longues. Un AAAA pointant vers un équilibreur TLS est anodin pour HTTPS et catastrophique pour SSH si le même nom est recopié sur un hôte de build sans clarifier quelle interface répond sur le port 22. Séparez par convention les noms d’accès shell interactif des sites marketing, même si la machine est la même Mac mini au fond d’un placard.
Les boîtiers SD-WAN réécrivent parfois le trafic selon des signatures applicatives. SSH est souvent laissé tranquille ; SFTP partage le port et peut être mal classé quand l’heuristique DPI change après une mise à jour firmware. Si les uploads se dégradent juste après une MAJ routeur, capturez des pcaps des deux côtés avant de toucher aux identifiants. Même logique pour les groupes de sécurité cloud qui viennent de passer l’IPv6 en défaut alors que l’IPv4 restait ouvert par héritage.
Les hotspots mobiles illustrent Happy Eyeballs : les téléphones préfèrent IPv6 avec des globales, mais un portable tether peut résoudre le même nom via un autre résolveur. Documentez le comportement attendu pour les démos depuis hôtels : une courte checklist vaut mieux qu’un pont de trente minutes de traceroutes hors sujet.
Les auteurs d’automatisation doivent éviter les littéraux IP nus dans les scripts si la flotte n’est pas réellement statique. Quand IPv6 devient obligatoire, les littéraux forcent des redéploiements. Préférez des alias Host qui cachent le nom stable tout en permettant un swap central d’AddressFamily. Couplez cela à l’infra-as-code des objets pare-feu pour qu’une règle IPv6 allow ne disparaisse pas lors d’un refactor Terraform qui ne touchait que l’IPv4.
L’observabilité SSH reste plus faible que HTTP. Peu d’équipes lancent des checks synthétiques ouvrant du SFTP toutes les cinq minutes depuis plusieurs régions. Des canaris légers qui s’authentifient et listent un répertoire paient quand le DNS ou le routage bascule la nuit. Stockez les résultats dans le même tableau de bord que la latence d’upload d’artefacts pour rendre les corrélations évidentes.
Former les juniors à lire sshd avec le contexte de famille d’adresses évite des escalades répétées. Une ligne de log avec une source hexadécimale n’est pas exotique : c’est IPv6 courant. Associez cette culture au guide d’épinglage des clés hôte pour expliquer pourquoi deux empreintes peuvent coexister sous DNS partagé si chaque chemin est documenté.
Le changement doit traiter la baisse de TTL DNS comme un événement prod. Baisser le TTL avant migration est sage ; oublier de remonter des valeurs conservatrices amplifie le churn client et le bruit des courses Happy Eyeballs. Ajoutez un rappel calendrier pour revoir le TTL après la fenêtre.
Coordonnez-vous avec la sécurité quand le filtrage sortant bloque des ICMP inattendus. Les échecs de découverte PMTU ressemblent encore à du SFTP bloqué alors que le 22 TCP semble ouvert. Documentez clamping et ajustements MSS à côté des paramètres SSH pour que les auditeurs voient une histoire complète.
La compliance impose parfois des audits IPv6. Utilisez-les pour aligner runbooks et attentes légales plutôt que paniquer la veille d’un auditeur. Exportez résolveur, exports pare-feu et configuration sshd effective dans un dépôt versionné pour des preuves reproductibles trimestre après trimestre.
En CI multi-région, planifiez des fenêtres pour que résolveur et routage ne changent pas partout à la même seconde. Les déploiements échelonnés isolent le blast radius et laissent au moins une région pour comparer pendant le diagnostic.
Un effet souvent négligé : filtres de contenu ou DNS-over-HTTPS qui déplacent la résolution. La même zone publique peut différer entre agence et datacenter alors que le nom d’hôte est identique. Documentez le chemin résolveur complet, pas seulement l’IP finale. Sur macOS, conservez des instantanés scutil --dns ; sous Linux conteneurisé, la chaîne resolv.conf avec le stub systemd-resolved. Sans cette profondeur, on croit que les clés hôte « sautent » alors qu’on joint deux cibles différentes.
Quand vous ouvrez IPv6 sur le périmètre, surveillez les différences de suivi d’état : certaines appliances traitent les nouvelles sessions IPv6 différemment de la réutilisation IPv4, ce qui produit des timeouts sur de longs transferts SFTP alors que de courtes sessions SSH passent. Les tests de charge doivent écrire de gros fichiers séquentiellement et paralléliser plusieurs flux pour révéler NAT et limites conntrack. Ajoutez une politique explicite pour ServerAliveCountMax afin de détecter vite les chemins morts au lieu de rester des heures à mi-chemin.
Pour les environnements mêlant Mac bare metal et bastions Linux virtualisés, tenez un tableau qui relie interface, nom DNS et lignes ListenAddress dans sshd_config. Une coquille entre zone interne et globale suffit à orienter les AAAA vers une mauvaise adresse publique pendant que les A restent justes : scénario classique de délais Happy Eyeballs car le client tente d’abord l’IPv6 « moderne ». Ce n’est pas de la bureaucratie : c’est le raccourci le plus rapide pour raccourcir l’astreinte.
Ajoutez au runbook un paragraphe rollback : quand une exception AddressFamily s’applique, fixez durée, responsable du renouvellement et alertes quand la pile initialement cassée est réparée. Sans date d’expiration, les contraintes IPv4 restent des années et compliquent les futurs projets IPv6-first ; des revues calendaires gardent les exceptions visibles.
Archivez les captures avec parcimonie et conformité vie privée, mais conservez assez de métadonnées pour prouver si les échecs se concentrent sur une famille pendant la revue d’incident.
Cette discipline garde les post-mortems factuels, courts et actionnables.
FAQ et pourquoi un Mac distant hébergé compte
Faut-il supprimer les enregistrements AAAA pour forcer IPv4 ?
C’est fragile. Préférez des overrides client AddressFamily par Host et documentez la raison opérationnelle pour ne pas être surpris par une migration IPv6-only.
Portable macOS et CI Linux se comportent différemment. Pourquoi ?
Bibliothèques résolveur, caches sans SRV et tri d’adresses divergent. Standardisez la sortie ssh -G dans les images CI et comparez aux machines des développeurs en incident.
rsync sur SSH hérite-t-il du problème ?
Oui. Traitez rsync -e ssh comme le même souci de famille de transport avec les mêmes blocs Host.
Résumé : les réseaux double pile placent DNS, routage et alignement des listeners avant le théâtre des identifiants. Stabilisez d’abord ces couches, puis revenez sur clés et comptes avec une télémétrie propre.
Limite : toute modification silencieuse d’AAAA ou règle pare-feu asymétrique ravive des coupures intermittentes chez fournisseurs et FAI résidentiels. De plus grosses clés ne rachètent pas cela.
Conclusion : le Mac distant hébergé SFTPMAC associe des uplinks prévisibles à des environnements de build compatibles Apple. Pour du SFTP et de l’ingress rsync fiables sans courir après chaque résolveur et chaque règle de bord, louer un Mac dédié offre souvent des SLA plus clairs qu’un bricolage complet en interne. Le cas business : moins de salles de crise et des cycles d’artefacts plus rapides, pas un peu plus de bande passante.
Les organisations déjà en mesh devraient voir l’exposition publique double pile comme un pont temporaire. Chaque mois de règles asymétriques est un mois de bruit de logs et de méfiance quand les uploads flanchent alors que le build va bien.
Épinglez politique de famille d’adresses, disposition des listeners et clés hôte dans un seul runbook pour garder les régressions mesurables.