pool.ntp.org supporte-t-il IPv6 ?

Oui, mais la zone par défaut pool.ntp.org retourne des enregistrements A et AAAA mélangés, que beaucoup de clients interprètent comme IPv4-seul. Utilisez les zones dédiées 2.pool.ntp.org et 3.pool.ntp.org statistiquement plus susceptibles de retourner des AAAA, ou interrogez explicitement avec 'dig AAAA 2.pool.ntp.org'. Pour un IPv6 garanti, configurez une source IPv6-capable connue : ntp.rdem-systems.com, time.cloudflare.com, ou nts.netnod.se.

Comment tester si mon serveur NTP répond sur IPv6 ?

Trois méthodes : (1) 'ntpdate -q -6 <serveur>' force la résolution IPv6. (2) 'sntp -6 <serveur>' fait la même chose pour le client SNTP systemd. (3) 'dig AAAA <serveur>' vérifie que l'enregistrement DNS existe avant même d'interroger NTP. Pour des serveurs internes, utilisez notre mode Bridge RFC 1918 avec une adresse IPv6 comme fe80:: ou 2001:db8::.

Pourquoi mon offset NTP est-il différent en IPv6 vs IPv4 ?

Chemins de routage différents : les paquets IPv6 traversent souvent moins de sauts que l'IPv4 car la dorsale IPv6 a moins d'inspection profonde et moins de frontières NAT. Un écart d'offset de 2–10 ms entre v4 et v6 vers le même nom d'hôte est normal quand le serveur a des adresses v4 et v6 distinctes atteignant des PoPs différents en anycast. Un écart plus grand indique un routage asymétrique ou un IPv6 tunnelé (6in4).

NIS 2 impose-t-il NTP sur IPv6 ?

L'article 21 de NIS 2 ne nomme pas IPv6 explicitement, mais l'article 21(2)(d) — sécurité supply-chain des produits TIC — et (2)(e) — diversification réseau — imposent de facto le dual-stack pour les entités dont le réseau porte déjà IPv6. Un segment interne IPv6-seul qui ne peut atteindre une source temporelle authentifiée via NTS/NTP sur v6 échoue au test de proportionnalité. Notre checklist d'audit couvre la dimension dual-stack explicitement.

Les serveurs NTP publics comme time.nist.gov sont-ils accessibles en IPv6 ?

time.nist.gov : enregistrement AAAA présent, v6 joignable. time.cloudflare.com : full dual-stack avec NTS. time.google.com : dual-stack avec leap-second smearing. ntp.ntsc.ac.cn : IPv4-seul en avril 2026. ntp.rdem-systems.com : dual-stack avec NTS. Vérifiez toujours avec 'dig AAAA' avant de compter sur la joignabilité v6 — les opérateurs changent cela sans préavis.

Test NTP IPv6 | Validateur Dual-Stack & Audit AAAA

Publié le 20 avril 2026 · Par Richard DEMONGEOT, RDEM Systems · Audience : DevOps, architectes réseau, RSSI validant le déploiement IPv6 contre les exigences de synchronisation temporelle.

Sommaire

1. Pourquoi NTP sur IPv6 compte en 2026
2. Résolution AAAA : ce que retourne le DNS
3. pool.ntp.org et IPv6 — l'astuce des sous-zones
4. Comment tester NTP IPv6 (CLI et navigateur)
5. Comparatif offset v4 vs v6
6. Sources NTP dual-stack fiables (avril 2026)
7. Preuves dual-stack pour NIS 2 / ISO 27001

1. Pourquoi NTP sur IPv6 compte en 2026

Le déploiement IPv6 a franchi le seuil majoritaire chez les principaux FAI européens (Orange, Proximus, Deutsche Telekom tous au-dessus de 60 %). Les réseaux internes qui portent IPv6 en production mais retombent en IPv4 pour NTP créent deux problèmes simultanément :

Opérationnel : une règle firewall ou un changement de routage IPv6-seul peut couper silencieusement la synchronisation temporelle d'un sous-réseau — souvent détecté seulement lorsque Kerberos échoue.
Audit : un auditeur NIS 2 lisant le contrôle supply-chain TIC (art. 21(2)(d)(e)) attend que la couche temporelle suive les mêmes garanties de disponibilité et d'authentification que le reste de la stack. « Nous avons IPv6 mais notre NTP est IPv4-seul » est un écart documenté.

Règle pratique. Si votre workload tourne en IPv6 pour un autre service, votre NTP doit aussi atteindre une source authentifiée en IPv6. Le coût d'audit d'admettre l'inverse est supérieur à la correction de configuration d'une ligne.

2. Résolution AAAA : ce que retourne le DNS

Avant que NTP ne parle IPv6, le résolveur doit retourner un enregistrement AAAA. Vérifiez avec dig :

$ dig AAAA ntp.rdem-systems.com +short
2a01:e0a:4bc:5110::1

$ dig AAAA time.cloudflare.com +short
2606:4700:f1::1
2606:4700:f1::123

$ dig AAAA time.nist.gov +short
2610:20:6f15:15::27

Une réponse vide signifie que l'opérateur n'a pas publié d'AAAA — vous devez choisir une autre source pour le dual-stack. time.ntsc.ac.cn, par exemple, est IPv4-seul en avril 2026.

3. pool.ntp.org et IPv6 — l'astuce des sous-zones

La zone globale pool.ntp.org retourne des A et AAAA mélangés, pondérés par le pourcentage de serveurs volontaires dans chaque famille. Comme les serveurs IPv4 dépassent IPv6 d'environ 3 pour 1, un client interrogeant pool.ntp.org reçoit souvent quatre A et aucun AAAA — comportement effectivement IPv4-seul.

Le contournement est la structure statistique des sous-zones :

Zone	Probabilité AAAA	Recommandé pour
`0.pool.ntp.org`	Très faible (~5 %)	Clients IPv4 legacy
`1.pool.ntp.org`	Faible (~10 %)	Majoritairement IPv4
`2.pool.ntp.org`	Élevée (~70 %)	Clients IPv6-preferred
`3.pool.ntp.org`	Élevée (~70 %)	Clients IPv6-preferred

Bonne pratique de configuration chrony/ntpd dual-stack :

# Privilégier IPv6 quand disponible
server 2.pool.ntp.org iburst
server 3.pool.ntp.org iburst
# Ancres dual-stack explicites (AAAA garanti)
server time.cloudflare.com iburst nts
server ntp.rdem-systems.com iburst nts

4. Comment tester NTP IPv6 (CLI et navigateur)

Depuis le navigateur

Utilisez le Validateur de Conformité en mode Bridge avec une cible IPv6 ([2a01:e0a:4bc:5110::1] ou le hostname sur un réseau IPv6-seul en sortie). Le bridge relaie le paquet NTPv4 via votre processus Node.js local : la résolution DNS et le routage reflètent la stack réseau réelle de votre poste.

Linux — sonde forcée v6

$ ntpdate -q -6 ntp.rdem-systems.com
server 2a01:e0a:4bc:5110::1, stratum 1, offset +0.000412, delay 0.01912

$ sntp -6 ntp.rdem-systems.com
+0.000412 +/- 0.001243 ntp.rdem-systems.com 2a01:e0a:4bc:5110::1 s1 no-leap

Configuration chrony explicite par famille

# /etc/chrony/chrony.conf
# Forcer l'interrogation IPv6 uniquement
server ntp.rdem-systems.com iburst family ipv6
# Dual-stack avec préférence
pool 2.pool.ntp.org iburst

Windows — w32tm

> w32tm /monitor /computers:ntp.rdem-systems.com
ntp.rdem-systems.com[2a01:e0a:4bc:5110::1:123]:
    ICMP: 12ms delay
    NTP: -0.0002341s offset from local clock
    RefID: 'GNSS' [0x53534E47]
    Stratum: 1

5. Comparatif offset v4 vs v6

Sondez le même nom d'hôte sur les deux familles et comparez. Une source dual-stack bien opérée affiche un offset quasi-identique et une variance de RTD sous 5 ms :

$ sntp -4 ntp.rdem-systems.com
+0.000398 +/- 0.001200 ntp.rdem-systems.com 51.159.173.61 s1 no-leap

$ sntp -6 ntp.rdem-systems.com
+0.000412 +/- 0.001243 ntp.rdem-systems.com 2a01:e0a:4bc:5110::1 s1 no-leap

# Écart d'offset : 0.014 ms  — dans le bruit de mesure, sain
# Écart de RTD : 0.043 ms    — sain

Signaux d'alerte. Un écart d'offset > 20 ms entre v4 et v6 vers le même nom d'hôte indique typiquement : (1) routage asymétrique — une famille traverse un tunnel, (2) serveurs backend différents derrière la même adresse anycast, (3) synchronisation cassée sur l'une des deux instances dual-stack. Investiguez avant de faire confiance à l'horloge combinée.

6. Sources NTP dual-stack fiables (avril 2026)

Source	IPv4	IPv6	NTS	Strate
`ntp.rdem-systems.com`	✓	✓	✓	1
`time.cloudflare.com`	✓	✓	✓	3 (anycast)
`time.google.com`	✓	✓	—	1 (leap-smeared)
`time.nist.gov`	✓	✓	—	1
`ntp1.ptb.de`	✓	✓	—	1
`nts.netnod.se`	✓	✓	✓	1
`2.pool.ntp.org`	✓	✓ (70 %)	—	Variable

Pour des configurations de qualité audit, préférez trois sources full dual-stack + NTS : par exemple ntp.rdem-systems.com, time.cloudflare.com, nts.netnod.se.

Pourquoi nous connaissons ce terrain. RDEM Systems exploite son propre espace d'adressage IPv6 sous AS206014, fait tourner NTP dual-stack sur chaque nœud et participe au NTP Pool public avec des enregistrements A et AAAA. Les serveurs de référence documentés ci-dessus — dont nos serveurs NTP en France et les endpoints NTS — sont la même infrastructure qui alimente ce validateur. Chaque affirmation de cette page a été vérifiée contre notre télémétrie de production avant publication.

7. Preuves dual-stack pour NIS 2 / ISO 27001

Les auditeurs demanderont : la synchronisation temporelle de l'entité essentielle/importante peut-elle continuer si le chemin v4 ou v6 est dégradé ? Le dossier de preuves :

Log de résolution AAAA — sortie de dig AAAA sur chaque source configurée, datée, archivée.
Log d'interrogation par famille — sortie de chrony sources montrant A et AAAA pour au moins une source commune.
Test de bascule mono-famille — procédure documentée coupant v4 (ou v6) au firewall et confirmant que l'horloge reste synchronisée via l'autre famille sous 2 minutes.
Enregistrement de change-management — toute modification NTP ticketée en parallèle du changement de routage ou firewall correspondant.

Références croisées : notre page exigences NIS 2 NTP liste ce point dans la checklist des 10 contrôles, et la checklist d'audit complète développe l'argument de diversification supply-chain.

Besoin de preuves prêtes pour l'audit ?

Utilisez le Validateur de Conformité pour sonder votre infrastructure sur IPv4 et IPv6 et exportez les résultats pour le dossier d'audit.

Lancer le Validateur → Exigences NIS 2

Test NTP IPv6Validateur Dual-Stack & Audit AAAA