distorted.lisp: Don't advertise Lets Encrypt certs for submission or IMAP.

distorted.lisp: Do the split-horizon thing for TLSA records.

distorted.lisp: Include the correct TLSA record details for SMTP.

Thanks to Viktor Dukhovni for pointing out that I'd done it wrong.

keys/https-artist.pub: Commit missing file.

distorted.lisp: Prepare for LetsEncrypt certificate on outward IMAP/SMTP.

Some SMTP TLS checking tools complain about the use of private
certificate authorities by public SMTP servers.  And I must admit that,
while an SMTP server which uses an unverifiable certificate is much
better than one which doesn't try to use TLS at all, it's not as good as
it could be.  So I want to use a LetsEncrypt certificate here.  Prepare
for this by publishing the service public key hash in the TLSA records.

hosts.lisp: Delete chiark's IPv6 nameserver address.

It seems that chiark doesn't actually respond to DNS queries over IPv6
at all.  Best not to ask it.

distorted.lisp: Publish a TLSA record for `rawk'.

This now has active TLS.

distorted.lisp: Delete the last mention of `pifi'.

It got replaced by `groove' back in 2015.

hosts.lisp, distorted.lisp: Define a network for `hippotat'.

This is for Ian Jackson's `Asinine IP Over HTTP' utility.

goodhstg.lisp: Abandon this domain.

I've cancelled it with the registrar, switched off the virtual server
which hosted it, and see no reason to continue maintaining the zone.

*.lisp: Add CAA records to discourage wrong CAs from issuing.

CAs are generally uselsss and can't be relied on to take any notice, but
it's better than nothing.

Add a record for our own CA for form's sake, even though I don't take
any notice.

hosts.lisp, distorted.lisp: Allocate an IPv6 range for DHCP.

The magic 32-bit hex string spells out `dhcp' in ASCII.

*.lisp: Add `ns3.mythic-beasts.com' as another secondary.

For the zones registered with Mythic Beasts, anyway.

hosts.lisp: Update IPv4 address for `ns1.mythic-beasts.com'.

Apparently it's changed.  Somehow I managed to spot this before the
change was announced, through a temporary inconsistency in the DNS
records.

keys/*.sshfp: Update to include the new Ed25519 keys.

Fix dynamic zones.

  * Include the correct nameservers.

  * Output a skeleton zone file for constructing updates.

distorted.lisp: Fix nameservers for `dnserr' subzone.

*.lisp: Arrange better authoritative nameservers.

  * Don't try to use `ns6.gandi.net': it doesn't seem to work properly.
    Specifically, it's rejecting all client requests with `REFUSED'.

  * Add `national' as a new nameserver for most of the zones.  It's a
    reasonably reliable machine, geographically separate from the
    existing nameservers, and in a very different AS.  I use DNSSEC, so
    its less trustworthy status isn't a big problem.

  * Add `secondary-dns.co.uk' as a secondary for the A&A reverse zones.
    I'm not convinced I can use that with glueful delegation, and it
    doesn't currently seem worth trying.

escorted.lisp: Use the correct `FOO.ns' nameserver names.

I think I must have copied this file from `odin.lisp' originally; that
has `FOO-ns' names instead because of a stupid limitation of Gandi, or
maybe the `.gg' registry.

distorted.lisp, hosts.lisp: Sort `vampire' in with the other house servers.

distorted.lisp: Refactor the nameserver stanza.

No actual change.

Makefile, distorted.lisp, hosts.lisp: Finish renumbering for A&A switchover.

  * Abolish the Hurricane Electric IPv6 range now that we have native
    IPv6.  I'm not going to try to do multihoming here.  Therefore, the
    A&A range takes over all of the house internal networks as well as
    the border.

  * Rearrange how the gateway addresses work.  It turns out that I have
    to allocate a little gateway network for the PPP terminating router:
    otherwise, it uses the wrong default source address for the PPP
    interface.

hosts.lisp, distorted.lisp: Preliminary setup for migration to A&A.

distorted.lisp: Reinstate `vampire' as nameserver.

distorted.lisp: vampire is out of action, so remove it from NS lists.

distorted.lisp: Rearrange telecaster's services a bit.

  * Make sure the ftp service advertises a TLSA record.

  * Merge the ftp and db stanzas in with the bugs and mailing-list
    servers, which somehow managed to be at opposite ends of the
    section.

  * Move dyndns near the others, for company.

New virtual server: universe.

distorted.lisp: Actually publish default addresses for public services.

I broke these by adding the TLSA records carelessly.  Maybe the zone
program should be fixed.

distorted.lisp: Add `wiki' service name for jazz.

distorted.lisp: Now using LetsEncrypt certificates on other servers.

Add the public keys and publish the TLSA records.

distorted.lisp: Roll out LetsEncrypt certificates for other services.

Now Git and webmail services use certificates which external users might
actually believe.

odin.lisp: Provide a TLSA record for the `odin' webserver.

Use a public key for the main webserver's TLSA record.

We're changing CA to LetsEncrypt, so the old certificate won't work any
more.  The LetsEncrypt certificate will change quite frequently, but the
public key is unchanged, so pin that in the TLSA record.

distorted.lisp: Avoid repeating the tedious details for our internal CA.

Unfortunately, the best approach at the moment appears to be using the
`#n=' and `#n#' reader macros, which is rather bletcherous.  Sorry.

distorted.lisp, hosts.lisp: New virtual host `national'.

Hosted by Linode in Dallas, TX.

Makefile, hosts.lisp: New network for untrusted hosts on the VPN.

distorted.lisp: Add missing TLSA record for IMAPS.

Since we're providing public IMAPS on the right port, we ought to
authenticate the certificate.

distorted.lisp: Add HTTPS TLSA record for mail.distorted.org.uk.

Shiny new Prayer-based webmail system.

distorted.lisp: Add new records for the bug tracking system.

distorted.lisp: No, there isn't an HTTPS certificate for the list server.

distorted.lisp: Reformat mail server SRV records.

This makes it easier to add more.

binswood.lisp: New master router; expunge dead devices.

distorted.lisp: Expunge some old services allegedly running on vampire.

The wiki will probably end up on jazz.  The others will just quietly
die.

distorted.lisp: Prepare for a new listserver on telecaster.

distorted.lisp, hosts.lisp: Move lespaul to the unsafe network.

distorted.lisp, hosts.lisp: Sort client hosts by subnet.

Makes it a little easier to find the one you're looking for.

distorted.lisp: Include nameservers in dhcp subzone.

This makes diffs slightly less cluttered.

Makefile: Actually fail if nsdiff doesn't work.

Include DS records explicitly; check them when diffing.

distorted.lisp, hosts.lisp: Reverse entries for haze and gretsch.

Annoyingly, haze doesn't seem to be doing IPv6 over wifi at the
moment, but I'm living in hopes...

Makefile: New target VIEW/ZONE.zonediff shows pending differences.

Requires Tony Finch's winning nsdiff(1) tool.  See

http://dotat.at/prog/nsdiff/

distorted.lisp, hosts.lisp: Assign theme names to the TP-Link switches.

Thanks to Owen Dunn for pointing me at some excellent names.

distorted.lisp, hosts.lisp: Add entries for crybaby.unsafe.

distorted.lisp, hosts.lisp: Assign VPN addresses to VPN hubs.

Now that we have trusted wireless networks, we want to be able to
allow hosts to use dynamically assigned addresses on those networks
and still claim their stable VPN addresses (e.g., for centralized
management).  For this to work, the internal endpoint of the VPN hub
has to be outside of the internal network range.

This is currently especially broken for radius, since it's the main
router in the house network.

hosts.lisp: evolution now speaks IPv6.

New hardware, new OS.

distorted.lisp, hosts.lisp: Move groove to the unsafe network.

It's a proper host on the wired network now.

distorted.lisp, hosts.lisp: Entries for the new switches.

distorted.lisp: Reorder the network infrastructure hosts.

distorted.lisp: Publish our standard abbreviated names in a subdomain.

We've been using abbreviated names for our hosts for ages, but haven't
published the abbrevations in DNS.  Now they're all in the `abbrev'
subdomain, as CNAME records pointing at the primary names.

Also publish `strat.NET' and `tele.NET' aliases.  I don't know why
these weren't published before.

This is a bit ugly.  It'd be nice to work out a better way of doing it.

distorted.lisp: Service name for keyserver.

distorted.lisp, hosts.lisp: Proper VPN address for groove.

Also an SSH fingerprint.

goodhstg.lisp: New domain `goodhstg.com'.

hosts.lisp: Simple name for `jaguar', since it'll be hosting services.

distorted.lisp: DHCP CNAME for new host `gretsch'.

distorted.lisp: Abbreviate the certificate pathnames.

Add some useful-looking TLSA records to hedge against CA uselessness.

Also to help convince outsiders about our own CA.

distorted.lisp, keys/haze.sshfp: Deploy haze properly.

ecorted.lisp, Makefile: New zone, because of a transcription error.

hosts.lisp, distorted.org.uk: New VPN host `haze'.

Hack :ANY pseudo-record type to cope with the new domain name objects.

distorted.lisp: Add MX for blackhole.

binswood.lisp: Publish records for the web server.

odin.lisp: Back to `NAME-ns.odin.gg' names for in-bailiwick nameservers.

Apparently the registry is hopeless and can't cope with multi-label
glue records.

distorted.lisp: The record for `iodine' shouldn't override jazz's PTR.

distorted.lisp: Emit reverse zones for optimistic RFC2317 delegations.

Update IPv6 and SSHFP records for jaguar.

distorted.lisp: Make `dyndns' be external only.

A useful application is catching external IP addresses for satellite
sites, and this doesn't work if the connection goes via the VPN.

hosts.lisp: Move VPN and anycast hosts to ...:1.

Linux thinks that host addresses which coincide with network base
addresses are `anycast', and that this means that it shouldn't send
ICMP errors to them.  This is obviously ridiculous. so move hosts to
address ...:1 to prevent this stupidity.

hosts.lisp, distorted.lisp: Fix records for `richmond'.

Add the IPv6 address, because it seems to respond just fine to IPv6;
and arrange to put the correct name in the reverse zone.

hosts.lisp: Make the IPv6 entry for `blackhole' more presentable.

Now we have proper address-suffix notation.

hosts.lisp, distorted.lisp: Reinstate IPv6 addresses for `www-cache'!

Upgrading to squid3 was very easy, and it supports IPv6 just fine.

This reverts commit 43fc56bd687d70a16ec7cc6921e5a7681fe2674d.

Add telecaster as a public-facing nameserver.

Annoyingly, precision has been a little flaky recently.  Provide some
good colocated backup.

distorted.lisp: Use `do-host' now that it's exported.

hosts.lisp, distorted.lisp: Remove IPv6 addresses for `www-cache'.

At the moment squid doesn't handle IPv6 at all, so this is a dead loss.

hosts.lisp: Replacing IPv6 host routes with /112 networks.

Linux has a bug: it doesn't make route cache entries for remote hosts if
there's already a host route, and it only attaches path-MTU information
to cache entries.  The result is that it doesn't handle ICMPv6 `packet
too big' messages properly for destinations with host routes.

I'm bodging this by replacing all of the host routes with tiny /112
networks.  It's awful, but it seems to work.  The convention is that the
`host part' of the net is always zero.

distorted.lisp: Service name `dyndns' for telecaster.

Include IPv6 addresses for dynamic hosts.

It's easiest to stuff these in a dummy zone and get the magic
machinery to make the reverse records.

odin.lisp: Bring Gandi's nameserver in-bailiwick.

hosts.lisp: Mark IPv4-only hosts as being such.

distorted.lisp: IPv6 reverse zones.

distorted.lisp: Use out-of-zone nameservers for reverse zones.

Kind of cluttery with the A records in there, and it's rather less
critical than the forward zones.

Publish IPv6 addresses for hosts which can cope.

distorted.lisp: Use `:addr' records for hosts.

The `:a' only makes IPv4 records.

distorted.lisp: Better processing of anycast addresses.

Introduce a custom `:anycast' record parser which hacks on descriptions
of which address families provide which services and does the right
thing.

This stuff is complicated because IPv6 anycast addresses actually
work globally so we might as well publish them properly.  Also, actual
anycast addresses have dedicated allocations, so it's right to maintain
PTR records for them; but the static-provider addresses are service
names and don't want reverse records.

distorted.lisp: Use `:multi' because `:cidr-delegation' has gone away.

Move lots of key files into a subdirectory.

New `zone' will find them, by magic.  Also prettify the DKIM stanzas
slightly.

Publish SSHFP records in the DNS.

Machinery for fetching the fingerprints (relying on the existing CA) is
also included.  I'm checking in the fingerprint files because I want to
track how they evolve.

Domain keys support.

distorted.lisp: Whitespace cleanup.

distorted.lisp: Arrange for artist to front for pifi generally.

The previous situation was a disaster: because orange is a VPN host,
it's not allowed to communicate directly with untrusted clients, but
not all clients can easily be persuaded to use www-cache.  So just
give up and proxy everything.