Vous avez deux bureaux. Vous avez un VPN. Vous avez des imprimantes. Et d’une façon ou d’une autre, l’impression se comporte comme une histoire de fantômes :
la moitié du temps ça marche, puis quelqu’un ne change rien et ça casse jusqu’au mardi. Le directeur financier imprime un contrat,
le travail « disparaît », et tout le monde commence à regarder le pare-feu comme s’il les avait personnellement insultés.
L’impression inter-sites est facile à faire fonctionner. Il est plus difficile de la rendre ennuyeusement fiable.
La fiabilité vient de rendre le chemin réseau prévisible, de choisir des protocoles sensés, de centraliser les bons éléments,
et de diagnostiquer rapidement le domaine de défaillance quand (pas si) quelque chose dérive.
Le modèle de fiabilité : ce que « impression stable » signifie réellement
La plupart des équipes considèrent l’impression comme une quête annexe. C’est la première erreur. L’impression est un système distribué :
clients, pilotes, spoolers, services d’annuaire, résolution de noms, un tunnel VPN, le routage, la QoS, et un appareil
dont l’idée de télémétrie est une LED clignotante et une interface web de 2009.
« Impression inter-sites stable » a trois propriétés :
-
Chemin prévisible : le trafic d’impression emprunte toujours le même routage et les mêmes politiques,
sans NAT surprise, routage asymétrique ou incohérences de split tunneling. -
Adressage déterministe : les imprimantes ne sont pas trouvées par un « réseau basé sur l’espoir » (découverte multicast,
baux DHCP changeants, suffixes DNS aléatoires). Elles sont trouvées par des noms stables et des IP stables. -
Bornes de spooling que vous contrôlez : vous décidez où les travaux sont mis en file, réessayés et transformés.
Si le WAN est instable, vous voulez la file du côté qui peut gérer les réessais sans drame utilisateur.
Le modèle le plus fiable pour l’impression inter-sites est généralement :
serveur d’impression local par site (Windows ou CUPS), les imprimantes restent locales, et le VPN est utilisé pour
la gestion et des exceptions cross-site occasionnelles — pas comme chemin de données principal pour chaque travail d’impression.
Quand vous devez imprimer entre sites (cadres, courrier centralisé, etc.), faites-le via
IPP(S) vers un serveur, pas en pointant chaque portable directement sur une imprimante via le tunnel.
Un seul « échec d’impression » peut signifier une douzaine de modes de défaillance différents. Votre travail est de réduire cet espace.
Concevez pour que les pannes soient évidentes, localisées et récupérables.
Faits intéressants et courte histoire qui expliquent le bazar actuel
-
Fait 1 : L’impression LPD/LPR remonte aux débuts de BSD Unix. C’est simple et durable,
et elle précède aussi les attentes modernes d’authentification d’à peu près une génération. -
Fait 2 : « RAW 9100 » (style JetDirect) est devenu populaire parce que c’était d’une simplicité brutale :
ouvrir TCP/9100 et stream des octets. C’est aussi merveilleusement indifférent à la comptabilisation des travaux et à l’identité utilisateur. -
Fait 3 : IPP (Internet Printing Protocol) a été conçu pour remplacer les anciens transports d’impression
avec un modèle plus riche : capacités, attributs, meilleurs états, et plus tard TLS via IPPS. -
Fait 4 : Beaucoup de bureaux dépendent encore de la découverte multicast (mDNS/Bonjour) parce que ça paraît magique
sur un LAN unique. Les VPN et réseaux routés ne font pas « multicast magique » à moins que vous ne mettiez en place la plomberie. -
Fait 5 : « Point and Print » de Windows est devenu un flux de travail de facto pendant des années,
mais le durcissement de la sécurité (surtout autour de l’installation des pilotes) a changé l’ergonomie. L’impression est devenue plus sûre et plus bruyante. -
Fait 6 : L’impression SMB (imprimante partagée sur un serveur Windows) est souvent fiable sur un LAN,
mais sur un WAN elle hérite de chaque accroc de latence et de chaque cas limite d’authentification que SMB peut offrir. -
Fait 7 : Les pilotes d’imprimante ont historiquement été une riche source de problèmes au niveau du noyau et du spooler.
C’est une des raisons pour lesquelles les approches « sans pilote » (IPP Everywhere, AirPrint) sont apparues. -
Fait 8 : Les pilotes « universels » existent parce que les parcs sont hétérogènes et la qualité des pilotes varie énormément selon les fournisseurs.
Les pilotes universels sont moins riches en fonctionnalités et plus prévisibles — ce qui est généralement un compromis qui vaut la peine sur un VPN.
Architectures qui fonctionnent (et pourquoi)
Option A (recommandée) : serveur d’impression par site, imprimantes locales
Déployez un serveur d’impression dans chaque bureau. Les clients de ce bureau impriment vers leur serveur local sur le LAN.
Le serveur communique avec les imprimantes locales. Le VPN n’est pas sur le chemin critique pour la plupart des travaux.
Si vous avez besoin de gestion centralisée, vous gérez les serveurs via le VPN.
Pourquoi ça marche : ça respecte la physique. La latence WAN et la perte de paquets sont l’ennemi du « stream de blob sans hoquet ».
Le spooling local contient le rayon d’impact. Si le VPN coupe pendant 10 secondes, le bureau peut toujours imprimer.
Option B : serveur d’impression centralisé, sites distants imprimant via IPPS
Un serveur d’impression unique (Windows ou CUPS) au siège. Les sites distants soumettent les travaux via le VPN à ce serveur.
Le serveur transfère vers des imprimantes (soit au siège soit en succursales).
Cela peut être stable si et seulement si :
vous utilisez un protocole moderne (IPP/IPPS), vous ajustez les timeouts, vous avez un routage prévisible, et le serveur est dimensionné
pour spooler les travaux sans s’étouffer. C’est toujours plus fragile que des serveurs locaux parce que toute l’impression dépend du tunnel et de ce serveur.
Option C (éviter pour la plupart des bureaux) : les clients impriment directement sur des imprimantes distantes via le VPN
C’est là que naissent les « pannes aléatoires ». Chaque portable devient son propre serveur d’impression, incluant toutes les bizarreries de pilotes,
l’état de session, et les règles de pare-feu personnelles. Vous envoyez aussi les payloads d’impression sur le tunnel depuis chaque client,
ce qui transforme la gigue VPN en douleur utilisateur.
Le direct-vers-imprimante sur VPN est acceptable pour quelques utilisateurs puissants si vous le verrouillez :
IPs statiques, DNS explicite, IPP/9100 selon le cas, et vous validez le chemin avec du monitoring.
Mais en posture par défaut pour un bureau ? Non.
Option D : impression cloud
L’impression cloud peut bien fonctionner, mais c’est un changement d’architecture : identité, connecteurs/agents, et parfois
remplacement des imprimantes legacy. Si votre objectif est « rendre l’impression VPN fiable », l’impression cloud peut être la bonne réponse à long terme,
mais ce n’est pas une rustine. Traitez-la comme une migration.
Conclusion orientée : si vous avez plus d’un site et que vous tenez à vos weekends, déployez un serveur d’impression par site
sauf s’il existe une forte raison métier contraire.
Protocoles : IPP, RAW 9100, LPD, SMB — choisissez votre poison volontairement
IPP/IPPS (préféré)
IPP est bavard mais capable. Sur un VPN, « bavard » peut aller si la latence est stable et si le MTU est correct.
IPPS (IPP sur TLS) vous donne chiffrement et une meilleure gestion d’identité que les protocoles plus anciens.
C’est aussi la base de l’impression sans pilote (IPP Everywhere).
Ce qui peut foirer : interception TLS ou certificats cassés, MTU mal dimensionné provoquant fragmentation et blocages,
et des imprimantes avec des implémentations IPP incomplètes. Oui, certains appareils revendiquent IPP puis paniquent quand on leur pose des questions basiques.
RAW TCP/9100 (simple, parfois trop simple)
TCP/9100, c’est « socket ouvert, stream d’octets ». Il a tendance à être résilient face aux bizarreries des fournisseurs, mais il vous donne un mauvais statut
et de faibles sémantiques de travail. Sur un VPN, il est vulnérable aux timeouts d’inactivité et aux réinitialisations de session. Si votre pare-feu ou VPN
coupe les connexions longues inactives, les gros travaux d’impression auront l’impression de jouer à pile ou face.
LPD/LPR (vieux, encore vivant)
LPD est étonnamment durable et souvent facile à traverser les réseaux, mais c’est un antique.
Si vous avez besoin d’authentification, d’audit ou de contrôles de sécurité modernes, LPD est un mauvais point de départ.
Si vous avez juste besoin d’un entrepôt pour imprimer des étiquettes de façon fiable depuis un système contrôlé, LPD peut suffire.
Imprimante partagée SMB (serveur d’impression Windows)
Dans les environnements Microsoft, c’est courant : se connecter à \\printserver\PrinterShare et laisser Windows gérer.
Sur un LAN, c’est souvent stable. Sur un VPN, SMB ajoute une sensibilité à la latence, au timing d’authentification,
et à la résolution de noms. SMB a tendance aussi à attirer des middleboxes et produits de sécurité « utiles ».
Si vous gérez des serveurs d’impression Windows, gardez-les patchés et contrôlez strictement la distribution des pilotes.
Utilisez un pilote universel à moins d’avoir un besoin fonctionnel spécifique.
Vérité sèche : les imprimantes sont le dernier endroit où vous voulez être « malin ». Choisissez un protocole principal par environnement et standardisez.
L’hétérogénéité est la façon dont vous vous retrouvez à déboguer quatre protocoles à 16h un vendredi.
VPN et routage : la plomberie ennuyeuse qui décide de votre sort
Rendez le routage symétrique et explicite
L’impression inter-sites adore le routage symétrique et stable. Si le trafic d’impression suit client → VPN → imprimante, le chemin de retour
doit aussi être imprimante → VPN → client (ou imprimante → serveur). Le routage asymétrique produit des « parfois ça marche »
de la façon la plus démoralisante : les handshakes TCP réussissent, puis les gros payloads se bloquent ou se réinitialisent.
Si vous NATez un côté du VPN et pas l’autre, soyez extrêmement délibéré. Le NAT peut cacher des péchés d’adressage,
mais il peut aussi casser les ACL d’imprimante, la journalisation, et tout protocole qui embarque des IPs ou attend une identité paire stable.
MTU et clamp MSS : le tueur silencieux
L’encapsulation VPN réduit le MTU effectif. Si vous ne clamez pas MSS ou n’ajustez pas le MTU, vous obtiendrez de la fragmentation ou des fragments avalés.
L’impression expose parfaitement ce problème parce que les payloads d’impression sont volumineux et souvent rafales.
Symptômes : petits travaux qui fonctionnent, gros PDFs qui échouent, ou travaux qui restent bloqués à « traitement ».
Timeouts d’inactivité et suivi de session
Beaucoup d’imprimantes vont faire une pause en cours de travail pour le rendu, l’agrafage ou l’attente de tampons internes.
Pendant ce temps, des pare-feux stateful et des équipements VPN peuvent décider que le flux est « inactif » et le tuer.
TCP/9100 en souffre. IPP aussi, selon l’implémentation et la façon dont le client stream les données.
QoS : ne laissez pas l’impression affamer les autres services, et ne la privez pas non plus
L’impression n’est pas du temps réel, mais les utilisateurs la perçoivent comme interactive. Pendant ce temps, un gros travail d’impression peut saturer un petit
tunnel et rendre la VoIP misérable. Si vous avez une bande passante limitée, classez et façonnez.
Vous n’avez pas besoin de perfection ; vous avez besoin que « l’impression ne DoS pas le bureau ».
Résolution de noms : DNS bat la découverte
Le mDNS à travers le VPN est un piège à moins que vous ne déployiez consciemment un passerelle/reflecteur mDNS et acceptiez la charge opérationnelle.
Mieux : donnez aux imprimantes des noms DNS stables (ou aux serveurs d’impression des noms stables), assurez-vous que les deux sites les résolvent de façon cohérente,
et gardez le reverse DNS assez correct pour la journalisation et les ACL.
Une citation à garder en tête, parce que c’est tout le jeu en ops :
L’espoir n’est pas une stratégie.
— James Cameron
Blague n°1 : Une imprimante est un ordinateur qui a atteint l’illumination : elle ne communique que par des voyants cryptiques et un jugement silencieux.
Méthode de diagnostic rapide
Quand l’impression échoue via un VPN, votre objectif n’est pas « fixer les yeux sur l’UI de l’imprimante ». Votre objectif est de localiser le goulot
en trois vérifications : chemin, protocole, spooler.
Première étape : confirmer que le chemin réseau est intact (L3/L4)
-
Pouvez-vous atteindre l’IP de l’imprimante/du serveur d’impression depuis le sous-réseau client ?
Si l’ICMP est bloqué, testez le TCP sur le port d’impression réel. -
Le routage est-il symétrique ?
Si une seule direction est routée via le VPN, vous verrez des réinitialisations TCP intermittentes ou des blocages. -
Le MTU/MSS est-il raisonnable ?
Les gros travaux qui échouent mais les petits qui fonctionnent sont un symptôme classique de MTU.
Deuxième étape : confirmer que le point de terminaison du protocole est correct
-
Le client imprime-t-il vers un serveur ou directement vers l’imprimante ?
Si c’est direct, attendez-vous à plus de modes de défaillance. -
Le port est-il ouvert de bout en bout ?
IPP typiquement 631/tcp, IPPS 443 ou 631 avec TLS selon l’appareil, RAW 9100/tcp, LPD 515/tcp, SMB 445/tcp. -
La résolution de noms est-elle stable ?
Si le DNS change entre des IP locales et distantes, vous aurez des « ça marche pour certains utilisateurs ».
Troisième étape : vérifier le comportement du spooler et de la file
-
Le travail est-il bloqué dans le spooler client, la file serveur ou la file de l’imprimante ?
La réparation dépend de l’endroit où il s’arrête. -
Les pilotes et filtres sont-ils stables ?
Un pilote cassé peut ressembler à un problème réseau. -
Y a-t-il des réessais/timeouts ?
Si le spooler abandonne trop vite pour un chemin à haute latence, ajustez-le ou déplacez la frontière de spooling.
Tâches pratiques : commandes, sorties et décisions (12+)
Ce sont des vérifications pratiques que vous pouvez exécuter depuis une machine admin Linux (ou un serveur d’impression Linux) lors du débogage.
L’objectif n’est pas la commande ; l’objectif est ce que la sortie vous indique et quelle décision vous prenez ensuite.
Tâche 1 : Vérifier l’interface VPN et les routes
cr0x@server:~$ ip -brief addr show
lo UNKNOWN 127.0.0.1/8 ::1/128
eth0 UP 10.10.10.20/24 fe80::a00:27ff:fe12:3456/64
wg0 UP 10.99.0.1/24
cr0x@server:~$ ip route
default via 10.10.10.1 dev eth0
10.10.10.0/24 dev eth0 proto kernel scope link src 10.10.10.20
10.20.20.0/24 via 10.99.0.2 dev wg0
10.99.0.0/24 dev wg0 proto kernel scope link src 10.99.0.1
Ce que cela signifie : vous avez un tunnel (wg0) et une route vers le sous-réseau distant (10.20.20.0/24) via celui-ci.
Décision : si le sous-réseau de l’imprimante distante n’est pas routé via l’interface VPN, corrigez le routage avant de toucher à l’impression.
Tâche 2 : Confirmer que vous pouvez atteindre le point de terminaison d’impression distant (vérif TCP)
cr0x@server:~$ nc -vz 10.20.20.50 631
Connection to 10.20.20.50 631 port [tcp/ipp] succeeded!
Ce que cela signifie : TCP/631 est atteignable de bout en bout ; le pare-feu et le routage de base sont probablement OK.
Décision : passez aux vérifications au niveau protocole (réponses IPP, TLS, auth).
Tâche 3 : Identifier si le MTU est probablement cassé (ping avec DF)
cr0x@server:~$ ping -M do -s 1360 10.20.20.50 -c 3
PING 10.20.20.50 (10.20.20.50) 1360(1388) bytes of data.
1368 bytes from 10.20.20.50: icmp_seq=1 ttl=63 time=28.4 ms
1368 bytes from 10.20.20.50: icmp_seq=2 ttl=63 time=28.0 ms
1368 bytes from 10.20.20.50: icmp_seq=3 ttl=63 time=28.2 ms
--- 10.20.20.50 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
Ce que cela signifie : au moins une charge utile de 1360 octets avec DF fonctionne ; le MTU peut être correct à cette taille.
Décision : si cela échoue avec « Frag needed », clamp MSS sur le tunnel/pare-feu ou baissez le MTU sur l’interface VPN.
Tâche 4 : Tracer la route pour détecter asymétrie ou passerelles erronées
cr0x@server:~$ traceroute -n 10.20.20.50
traceroute to 10.20.20.50 (10.20.20.50), 30 hops max, 60 byte packets
1 10.99.0.2 2.114 ms 2.022 ms 2.009 ms
2 10.20.20.50 28.901 ms 28.744 ms 28.701 ms
Ce que cela signifie : le trafic passe par le pair VPN puis vers l’imprimante. Court et propre.
Décision : si vous voyez un saut via le routeur Internet ou un tunnel différent, corrigez les préférences de routage.
Tâche 5 : Vérification de la cohérence DNS (avant et inverse)
cr0x@server:~$ getent hosts prn-branch-1.office.example
10.20.20.50 prn-branch-1.office.example
cr0x@server:~$ dig +short -x 10.20.20.50
prn-branch-1.office.example.
Ce que cela signifie : mappage avant et inverse stable.
Décision : si le reverse DNS pointe ailleurs ou si le forward DNS retourne plusieurs IPs, corrigez le DNS avant de blâmer les imprimantes.
Tâche 6 : Confirmer quel protocole la file utilise (CUPS)
cr0x@server:~$ lpstat -v
device for Branch_HP_Color: ipp://prn-branch-1.office.example/ipp/print
device for HQ_Laser: socket://10.10.10.80:9100
Ce que cela signifie : l’imprimante de la succursale utilise IPP, le HQ utilise RAW 9100.
Décision : priorisez la correction d’IPP/TLS/auth pour la file de la succursale ; files différentes, modes de défaillance différents.
Tâche 7 : Soumettre un petit travail test et observer où il se bloque
cr0x@server:~$ echo "test page $(date)" | lp -d Branch_HP_Color
request id is Branch_HP_Color-381 (1 file(s))
cr0x@server:~$ lpstat -o
Branch_HP_Color-381 cr0x 1024 Sat 27 Dec 2025 02:11:49 PM UTC
Ce que cela signifie : le travail est mis en file dans CUPS.
Décision : s’il ne quitte jamais la file, inspectez les logs CUPS et la connectivité backend ; s’il part mais n’imprime pas, inspectez les logs côté imprimante.
Tâche 8 : Inspecter les logs d’erreur CUPS pour timeouts backend
cr0x@server:~$ sudo tail -n 30 /var/log/cups/error_log
E [27/Dec/2025:14:11:52 +0000] [Job 381] Unable to connect to printer; will retry in 30 seconds
E [27/Dec/2025:14:12:22 +0000] [Job 381] Connection timed out
W [27/Dec/2025:14:12:22 +0000] [Job 381] Retrying job due to previous error; attempt 2 of 5
Ce que cela signifie : le spooler ne peut pas maintenir une connexion vers le point de terminaison.
Décision : vérifiez les timeouts d’inactivité du pare-feu, le MTU, et la perte de paquets ; confirmez aussi que l’imprimante n’est pas en veille/hors-ligne à l’autre bout.
Tâche 9 : Capture de paquets sur le serveur d’impression (prouver réinitialisations vs blocages)
cr0x@server:~$ sudo tcpdump -ni wg0 host 10.20.20.50 and tcp port 631 -c 12
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
14:12:01.012345 IP 10.99.0.1.49122 > 10.20.20.50.631: Flags [S], seq 123456789, win 64240, options [mss 1380,sackOK,TS val 111 ecr 0], length 0
14:12:01.041002 IP 10.20.20.50.631 > 10.99.0.1.49122: Flags [S.], seq 987654321, ack 123456790, win 65535, options [mss 1380,sackOK,TS val 222 ecr 111], length 0
14:12:01.041100 IP 10.99.0.1.49122 > 10.20.20.50.631: Flags [.], ack 1, win 64240, options [TS val 111 ecr 222], length 0
14:12:31.044512 IP 10.99.0.1.49122 > 10.20.20.50.631: Flags [F.], seq 1, ack 1, win 64240, options [TS val 333 ecr 222], length 0
Ce que cela signifie : le handshake réussit ; puis rien pendant ~30 secondes ; ensuite le client ferme.
Cela ressemble à un blocage applicatif ou à un middlebox qui laisse tomber des paquets silencieusement.
Décision : vérifiez MTU/fragmentation et les réglages de mise en veille/économie d’énergie de l’imprimante ; envisagez de forcer IPPS ou d’utiliser un spooler local à la succursale.
Tâche 10 : Valider le comportement du point IPP (vérif HTTP rapide)
cr0x@server:~$ curl -I http://prn-branch-1.office.example:631/
HTTP/1.1 200 OK
Server: CUPS/2.4
Content-Type: text/html; charset=utf-8
Ce que cela signifie : le port 631 répond en HTTP ; ça pourrait être un serveur IPP embarqué de l’imprimante ou une instance CUPS.
Décision : si vous attendiez une imprimante mais voyez « CUPS », vous pourriez atteindre le mauvais hôte/IP via DNS ou NAT.
Tâche 11 : Vérifier si l’imprimante est joignable sur RAW 9100 (si utilisé)
cr0x@server:~$ nc -vz 10.20.20.50 9100
Connection to 10.20.20.50 9100 port [tcp/*] succeeded!
Ce que cela signifie : le port classique est ouvert.
Décision : si 9100 est ouvert mais que l’IPP ne l’est pas, choisissez un protocole et standardisez ; ne laissez pas les clients « basculer automatiquement » pendant les pannes.
Tâche 12 : Confirmer que CUPS voit l’imprimante comme acceptant les travaux
cr0x@server:~$ lpstat -p Branch_HP_Color -l
printer Branch_HP_Color is idle. enabled since Sat 27 Dec 2025 01:40:02 PM UTC
Form mounted:
Content types: any
Printer types: unknown
Description: Branch HP Color
Alerts: none
Location: Branch Office
Connection: ipp://prn-branch-1.office.example/ipp/print
Ce que cela signifie : la file est activée et inoccupée côté serveur.
Décision : si elle est « stopped », faites un redémarrage contrôlé de la file et inspectez pourquoi elle s’est arrêtée (auth, erreur backend).
Tâche 13 : Redémarrer la file proprement (ne pas rebooter tout le monde)
cr0x@server:~$ sudo cupsdisable Branch_HP_Color
cr0x@server:~$ sudo cupsenable Branch_HP_Color
cr0x@server:~$ sudo cupsaccept Branch_HP_Color
Ce que cela signifie : vous réinitialisez l’état d’acceptation/activation sans redémarrer tout le sous-système d’impression.
Décision : si désactiver/activer débloque des travaux à répétition, le problème sous-jacent est toujours présent ; rassemblez les logs et corrigez la cause racine.
Tâche 14 : Sur les systèmes systemd, vérifier la santé de CUPS et les erreurs récentes
cr0x@server:~$ systemctl status cups --no-pager
● cups.service - CUPS Scheduler
Loaded: loaded (/lib/systemd/system/cups.service; enabled; preset: enabled)
Active: active (running) since Sat 2025-12-27 13:10:03 UTC; 1h 5min ago
TriggeredBy: ● cups.socket
Docs: man:cupsd(8)
Main PID: 1240 (cupsd)
Tasks: 3
Memory: 12.4M
CPU: 2.131s
CGroup: /system.slice/cups.service
└─1240 /usr/sbin/cupsd -l
cr0x@server:~$ journalctl -u cups -n 20 --no-pager
Dec 27 14:12:22 server cupsd[1240]: [Job 381] Connection timed out
Dec 27 14:12:22 server cupsd[1240]: [Job 381] Retrying job due to previous error
Ce que cela signifie : CUPS est vivant ; la défaillance est de connectivité/backend, pas un crash du daemon.
Décision : évitez le réflexe « tout redémarrer » ; concentrez-vous sur le chemin réseau et le comportement du périphérique.
Tâche 15 : Mesurer rapidement la perte de paquets et la gigue (mtr)
cr0x@server:~$ mtr -rwzbc 50 10.20.20.50
Start: 2025-12-27T14:14:01+0000
HOST: server Loss% Snt Last Avg Best Wrst StDev
1.|-- 10.99.0.2 0.0% 50 2.1 2.2 1.8 3.4 0.3
2.|-- 10.20.20.50 6.0% 50 29.0 31.4 27.9 88.2 10.7
Ce que cela signifie : 6% de perte vers l’imprimante est catastrophique pour des protocoles d’impression qui attendent une livraison TCP régulière.
Décision : corrigez l’infrastructure VPN (FAI, Wi-Fi, lien faible), ou déplacez le spooling local pour que la soumission de travaux survive à la perte.
Tâche 16 : Confirmer les compteurs de politique du pare-feu (exemple nftables)
cr0x@server:~$ sudo nft list ruleset | sed -n '1,120p'
table inet filter {
chain forward {
type filter hook forward priority filter; policy drop;
ct state established,related accept
iifname "wg0" oifname "eth0" ip daddr 10.10.10.0/24 accept
iifname "eth0" oifname "wg0" ip daddr 10.20.20.0/24 tcp dport { 631, 9100 } accept
}
}
Ce que cela signifie : vous autorisez explicitement les ports d’impression depuis le HQ vers la succursale.
Décision : si vos règles allow n’incluent pas 631/9100/515/445 selon les besoins, ajoutez-les explicitement et journalisez les drops pour visibilité.
Erreurs courantes : symptômes → cause racine → correctif
1) « Les petits travaux s’impriment, les gros PDFs échouent ou se bloquent »
Cause racine : décalage MTU/MSS sur le VPN ; fragments de paquets perdus ; PMTUD bloqué.
Correctif : clamp TCP MSS sur le tunnel/pare-feu, ou définir un MTU inférieur sur l’interface VPN.
Validez avec ping -M do et une capture montrant des retransmissions/trous de fragments.
2) « Ça marche pendant des heures, puis ça s’arrête jusqu’à ce que quelqu’un vide la file »
Cause racine : timeouts d’inactivité des pare-feux stateful tuant des sessions TCP/9100 longue durée, ou mode veille de l’imprimante fermant les sockets.
Correctif : privilégier IPP avec spooling approprié, réduire la dépendance aux streams bruts, ou augmenter les timeouts d’inactivité pour les flux d’impression.
Désactivez aussi la mise en veille agressive de la carte réseau de l’imprimante si elle provoque des changements de connexion.
3) « Certains utilisateurs peuvent imprimer, d’autres non ; même bureau »
Cause racine : DNS fractionné, suffixes DNS multiples, ou clients résolvant les noms d’imprimante vers des IP différentes (local vs distant).
Correctif : standardiser la résolution DNS (une source de vérité), utiliser des noms stables, et éviter la découverte mDNS pour les sites routés.
4) « Les travaux quittent le client mais n’apparaissent jamais sur l’imprimante »
Cause racine : travaux coincés dans le spooler serveur, ou l’imprimante rejette le travail en raison d’une incompatibilité pilote/PCL/PS.
Correctif : vérifiez les logs de la file serveur ; passez à un pilote universel ou à IPP Everywhere sans pilote.
Confirmez la compatibilité du langage d’impression de l’imprimante (PCL6 vs PostScript).
5) « Tout a cassé après qu’on ait « optimisé » le VPN »
Cause racine : MTU modifié, compression activée, paramètres d’encapsulation UDP agressifs,
ou mise en place d’un shaping sans considérer les flux TCP longue durée.
Correctif : revenir en arrière et réintroduire les changements un par un avec mesures.
Traitez l’impression comme une charge canari car elle est sensible à la gigue et à la perte.
6) « La découverte d’imprimantes est instable entre sites »
Cause racine : mDNS/Bonjour et découverte basée broadcast ne traversent pas les VPN routés par défaut.
Correctif : arrêtez de compter sur la découverte ; publiez les imprimantes via DNS et files gérées (GPO pour Windows, profils/MDM pour macOS).
7) « Les clients Windows demandent sans cesse l’installation de pilotes ou sont bloqués »
Cause racine : durcissement Point-and-Print, politiques de signature des pilotes, ou paquets de pilotes incohérents sur le serveur.
Correctif : utilisez des pilotes packagés supportés par le fournisseur ou des pilotes universels, pré-déployez via gestion des endpoints, et gardez les serveurs d’impression patchés.
8) « Le VPN est up, mais l’impression échoue de façon intermittente aux heures de pointe »
Cause racine : congestion sur l’underlay ; saturation du tunnel ; absence de QoS ; bufferbloat.
Correctif : implémentez du shaping, réservez de la capacité pour le trafic interactif, et évitez que l’impression monopolise le tunnel.
Envisagez de déplacer le spooling local afin que le WAN transporte des flux de contrôle plus petits.
Trois mini-récits d’entreprise depuis le terrain
Mini-récit 1 : L’incident causé par une mauvaise hypothèse
Une entreprise de taille moyenne a fusionné deux bureaux et les a connectés avec un beau VPN site-à-site. Le volume de tickets du helpdesk
a immédiatement augmenté : « L’impression vers l’autre bureau échoue aléatoirement. » L’équipe réseau insistait que le VPN était stable parce que
« les pings sont bons ».
La mauvaise hypothèse était subtile : ils supposaient que le succès ICMP signifiait que les sessions TCP se comporteraient bien. En réalité, le lien VPN était
correct pour les petits paquets, mais le MTU effectif avait chuté après encapsulation. Le PMTUD était bloqué par une règle de pare-feu que « personne ne se rappelle d’avoir ajoutée »,
donc les fragments étaient avalés.
Les utilisateurs pouvaient imprimer un document Word d’une page, mais les PDFs multipages se bloquaient en cours de flux. Le spooler finissait par expirer,
les utilisateurs réessaient, et l’imprimante finissait par recracher des pages partielles comme si elle auditionnait pour l’art moderne.
La correction fut ennuyeuse et immédiate : clamp TCP MSS sur l’interface du tunnel et autoriser les messages ICMP « fragmentation needed » nécessaires.
Après cela, les gros travaux se sont comportés. Le helpdesk a arrêté de traiter les imprimantes comme des objets maudits.
La leçon durable : n’acceptez jamais « ping marche » comme preuve qu’un chemin WAN est sain pour de volumineux payloads TCP.
L’impression est un banc d’essai MTU étonnamment efficace.
Mini-récit 2 : L’optimisation qui s’est retournée contre eux
Une autre organisation avait une impression stable depuis des années en utilisant un serveur d’impression Windows de branche. Quelqu’un a décidé qu’un serveur local était une « dette technique »
et l’a remplacé par de l’impression directe : chaque poste mappait directement chaque imprimante via le VPN. Moins de serveurs, moins de patchs, moins de problèmes.
C’était l’argument.
Le revers est arrivé en trois vagues. Première vague : pilotes incohérents. Certains portables avaient des pilotes fournisseurs, d’autres un pilote universel,
d’autres ce que Windows Update leur avait fourni. Le rendu variait : agrafage manquant, bacs erronés, étiquettes tournées.
Pas catastrophique, juste embarrassant.
Deuxième vague : charge VPN. Le pic du matin a créé des dizaines de streams TCP/9100 directs simultanés à travers le tunnel. La qualité VoIP a chuté,
et les plaintes « le VPN est lent » ont commencé, même pour des utilisateurs qui n’imprimaient pas. L’équipe réseau a réagi en serrant les timeouts d’inactivité
pour garder la table d’état petite. C’est là que la troisième vague est arrivée.
Troisième vague : échecs aléatoires en cours de travail. Les longs travaux se bloquaient. Les utilisateurs réessaient. Le tunnel transportait encore plus de trafic dupliqué.
L’équipe a commencé à redémarrer les imprimantes, ce qui « corrigait » temporairement le symptôme en libérant les sockets. C’est devenu un rituel : si l’impression échoue, sacrifiez dix minutes aux dieux de l’imprimante.
Ils sont finalement revenus à un serveur d’impression de branche. Un spooler unique par site a rendu les réessais raisonnables et réduit le bavardage WAN.
L’« optimisation » était réelle — moins de serveurs — mais elle a externalisé la fiabilité vers des centaines d’endpoints et un VPN qui n’était pas prévu pour ce rôle.
Mini-récit 3 : La pratique ennuyeuse mais correcte qui a sauvé la mise
Une entreprise distribuée avait des imprimantes dans cinq bureaux et un maillage IPsec toujours actif. Ils ne traitaient pas l’impression comme spéciale ;
ils la traitaient comme n’importe quel autre service de production. Les imprimantes avaient des réservations DHCP statiques, des noms DNS, et une petite norme interne :
IPP quand possible, sinon RAW 9100 derrière un serveur d’impression local. Rien de fancy.
Une fois par trimestre, quelqu’un exécutait une checklist de maintenance : confirmer les versions de firmware, exporter les configs d’imprimante, vérifier les files des serveurs d’impression,
et exécuter un test d’impression contrôlé sur chaque site. Ils avaient aussi un monitoring simple : vérifications de ports TCP et un test synthétique « soumettre un travail à la file »
qui n’utilisait pas réellement de papier (il ciblait une file virtuelle ou retenait le travail).
Un lundi, une succursale a changé de FAI. Le VPN est revenu, les e-mails fonctionnaient, les applications web fonctionnaient. L’impression a échoué pour cette succursale.
Au lieu de s’affoler, ils ont appliqué la même méthode : mtr montrait une perte intermittente et des pics ; tcpdump montrait des retransmissions ; les logs CUPS montraient des timeouts.
Ce n’était pas un problème d’imprimante.
Ils ont fourni au FAI un rapport propre de perte de paquets et ont maintenu l’impression locale pendant que le FAI réparait l’underlay.
Personne n’a touché aux pilotes. Personne n’a rebooté les imprimantes en colère. La pratique était ennuyeuse, et elle a évité le chaos.
Blague n°2 : Imprimer via un VPN, c’est comme transporter un canapé dans une porte tournante ; c’est possible, mais vous feriez mieux de mesurer d’abord.
Listes de contrôle / plan étape par étape
Plan étape par étape pour une impression inter-sites stable
-
Choisissez votre architecture.
Par défaut : serveur d’impression local par site. Centralisez seulement si vous pouvez justifier la dépendance au WAN. -
Standardisez protocole et pilotes.
Préférez IPP/IPPS et les impressions sans pilote ou pilotes universels quand c’est possible.
Évitez de mélanger « certaines files sont IPP, certaines SMB, certaines RAW » à moins d’aimer déboguer. -
Verrouillez l’adressage.
Réservations DHCP pour les imprimantes, noms DNS stables, vues DNS cohérentes entre sites. -
Rendez le routage explicite.
Assurez-vous que les deux côtés routent les sous-réseaux d’imprimantes de façon symétrique sur le tunnel. Évitez le NAT surprise. -
Corrigez MTU/MSS avant le déploiement.
Validez avec des pings DF et quelques gros travaux tests. Si vous ne testez pas ça, les utilisateurs le feront. -
Définissez des règles de pare-feu intentionnelles.
Autorisez seulement les ports nécessaires entre serveurs d’impression et imprimantes. Journalisez les drops pour les sous-réseaux d’impression. -
Ajustez les timeouts pour la réalité WAN.
Les liens VPN ont plus de latence que les LAN ; ne laissez pas les spoolers abandonner trop tôt. -
Arrêtez de dépendre de la découverte multicast entre sites.
Publiez les imprimantes via des files gérées. Si vous devez utiliser mDNS, déployez un reflecteur en connaissance de cause et surveillez-le. -
Construisez une boucle de monitoring minimale.
Vérifications de ports vers les imprimantes, santé des files sur les serveurs, et soumission synthétique périodique de travaux. -
Documentez le « chemin d’impression ».
Pour chaque site : client → serveur → imprimante, incluant protocole et ports. C’est votre carte d’incident.
Checklist opérationnelle pour les fenêtres de changement (VPN, pare-feu, FAI)
- Avant : exécutez des tests MTU DF ping entre serveurs d’impression et imprimantes distantes ; enregistrez la taille maximale fonctionnelle.
- Avant : capturez les routes actuelles et les règles de pare-feu pertinentes pour les sous-réseaux d’imprimantes.
- Pendant : validez la connectivité TCP sur les ports d’impression réels (631/9100/515/445 selon le cas).
- Pendant : exécutez un travail test depuis chaque site vers chaque file d’imprimante critique ; surveillez les logs du spooler en temps réel.
- Après : confirmez que le monitoring est vert et que l’arriéré de files est normal.
- En cas de problème : rétablissez les changements réseau avant de « réinstaller des pilotes ». Les pilotes ne sont rarement le premier domino.
Checklist de sécurité qui ne ruine pas la fiabilité
- Privilégiez IPPS quand c’est supporté ; évitez d’exposer les interfaces d’administration des imprimantes sur l’ensemble du VPN.
- Segmenter les imprimantes dans des VLANs dédiés et restreindre qui peut leur parler (généralement uniquement les serveurs d’impression).
- Maintenez les firmwares d’imprimantes à jour selon un calendrier ; les imprimantes livrent des bugs de sécurité comme tout autre équipement.
- Désactivez les protocoles legacy que vous n’utilisez pas (anciennes versions SMB, telnet, FTP) pour réduire la surface d’attaque.
- Journalisez l’authentification et les actions administratives des serveurs d’impression ; ne prétendez pas que les imprimantes ne sont pas de vrais systèmes.
FAQ
1) Devons-nous imprimer directement sur des imprimantes distantes via le VPN ?
Seulement pour des exceptions limitées. Pour l’impression bureautique normale, utilisez un serveur d’impression local par site.
Le direct-vers-imprimante multiplie l’incohérence des pilotes et transforme la gigue VPN en panne visible par l’utilisateur.
2) Quel protocole est le meilleur sur un VPN : IPP, RAW 9100, LPD ou SMB ?
Préférez IPP/IPPS quand les imprimantes le supportent correctement. RAW 9100 est simple mais fragile face aux timeouts d’inactivité et donne un statut pauvre.
SMB est acceptable dans un LAN Windows-centric, mais sur un VPN il est plus sensible à la latence et aux problèmes d’auth.
LPD est ancien et fonctionne souvent, mais ce n’est pas une posture de sécurité moderne.
3) Pourquoi la découverte d’imprimantes fonctionne dans un bureau mais pas à travers le VPN ?
Parce que la découverte repose souvent sur du multicast (mDNS/Bonjour) et du broadcast, que les VPN routés ne transportent pas par défaut.
Utilisez DNS et files gérées au lieu de la découverte pour les configurations inter-sites.
4) Les travaux font la file mais n’impriment jamais. Est-ce l’imprimante ou le VPN ?
Trouvez où le travail s’arrête : spooler client, file serveur, ou imprimante.
Si les logs CUPS/serveur montrent des timeouts de connexion, soupçonnez le chemin réseau (perte/MTU/timeouts).
Si la connexion est stable mais que les travaux échouent, soupçonnez un décalage pilote/PDL ou des limites côté imprimante.
5) Pourquoi les gros PDFs échouent plus que les petits documents ?
Les problèmes de MTU et la perte de paquets se manifestent comme des échecs dépendant de la taille.
Corrigez MTU/MSS et vérifiez que PMTUD n’est pas bloqué. Vérifiez aussi la congestion et le shaping du tunnel.
6) Avons-nous besoin de QoS pour l’impression ?
Si votre tunnel dispose d’une large bande passante, peut-être pas. Si elle est contrainte, oui.
L’impression peut saturer des liens faibles et rendre « tout lent ». Façonnez pour que l’impression soit régulière mais pas dominante.
7) Comment éviter le chaos des pilotes entre sites ?
Standardisez sur l’impression sans pilote ou les pilotes universels quand c’est possible, et distribuez les files via une gestion centrale
(GPO/MDM). Évitez de laisser les utilisateurs « Ajouter une imprimante » ad hoc depuis les menus de découverte.
8) Un serveur d’impression centralisé est-il une mauvaise idée ?
Pas forcément. C’est un compromis : gestion plus simple, mais plus grande dépendance au WAN et à un seul serveur.
Si vous centralisez, utilisez IPPS, ajustez les timeouts, et rendez le serveur robuste (espace disque pour les spools, monitoring, patchs).
9) Nous avons déjà un VPN site-à-site. Pourquoi devons-nous changer quelque chose ?
Parce que « VPN up » ne veut pas dire « VPN adapté pour du bulk TCP avec des flux longue durée ».
L’impression est sensible au MTU, à la perte, aux timeouts et à la résolution de noms. Rendez ces éléments explicites et mesurés.
10) Quelle est la solution de contournement la plus rapide et fiable lors d’une panne ?
Déplacez le spooling local : imprimez vers un serveur local au même site que l’imprimante, puis laissez ce serveur réessayer.
Si vous n’avez pas de serveurs locaux, déployez-en temporairement un (même une petite VM) et redirigez les files critiques.
Conclusion : prochaines étapes réalisables cette semaine
Si vous voulez une impression stable entre bureaux, arrêtez de traiter les imprimantes comme des appareils mystiques et commencez à les traiter
comme des endpoints dans un réseau routé avec une couche applicative fragile. Votre meilleur mouvement est architectural : spooling local
près des imprimantes, protocoles cohérents, nommage stable, et comportement VPN mesuré.
- Dessinez le chemin d’impression pour chaque bureau (client → serveur → imprimante) et notez protocole/port.
- Choisissez une norme (IPP/IPPS préféré) et migrez d’abord les files bizarres.
- Corrigez MTU/MSS et validez avec des pings DF et quelques gros travaux d’impression intentionnels.
- Remplacez la découverte par DNS + files gérées. La découverte, c’est pour les cafés, pas pour les WAN d’entreprise.
- Ajoutez deux moniteurs : disponibilité de port et santé des files. Vous voulez savoir que c’est cassé avant que le directeur financier ne le sache.
Faites cela, et les « pannes aléatoires d’impression » deviennent des « tickets prévisibles avec un correctif court », ce qui est à peu près aussi proche du bonheur que l’impression permet.