Temat: dnsmasq bit AD - problem z captive portal na hotelowym WiFi

Dzień dobry,
Skonfigurowałem na Cudy TR3000 z openwrt 24.10.5 podróżny router, jednak nie mogłem za jego pośrednictwem przejść przez proces logowania do hotelowego WiFi. Strona hotelowa przekierowywała sesję przeglądarki na laptopie wpiętym poprzez ten router na controleur.wifipass.org, lecz laptop dostawał z serwera DNS dnsmasq na routerze odpowiedź NXDOMAIN zamiast adresu IP w sieci hotelowej.
Okazało się, że zapytania DNS generowane przez dnsmasq na routerze mają ustawiony bit AD, choć system Windows 11 na laptopie nie ustawiał tego bitu wysyłając zapytanie DNS do routera.

Zdekodowane w wireshark:

zapytanie DNS wysłane przez dnsmasq na routerze:
Flags: 0x0120 Standard query
    0... .... .... .... = Response: Message is a query
    .000 0... .... .... = Opcode: Standard query (0)
    .... ..0. .... .... = Truncated: Message is not truncated
    .... ...1 .... .... = Recursion desired: Do query recursively
    .... .... .0.. .... = Z: reserved (0)
    .... .... ..1. .... = AD bit: Set    <<<<<<<<<<<< przyczyna NXDOMAN w odpowiedzi z hotelowego serwera DNS
    .... .... ...0 .... = Non-authenticated data: Unacceptable

zapytanie DNS wysłane przez laptop:
Flags: 0x0100 Standard query
    0... .... .... .... = Response: Message is a query
    .000 0... .... .... = Opcode: Standard query (0)
    .... ..0. .... .... = Truncated: Message is not truncated
    .... ...1 .... .... = Recursion desired: Do query recursively
    .... .... .0.. .... = Z: reserved (0)
    .... .... ...0 .... = Non-authenticated data: Unacceptable

Jako obejście ustawiłem w dnsmasq zwracanie klientom DHCP adresu IP hotelowego serwera DNS zamiast adresu IP routera:
LAN interface -> DHCP Server ->Advanced Settings -> DHCP-Options:
6,9.9.9.9,10.10.128.1
jednak wymaga to uprzedniego sprawdzenia adresu serwera DNS danego hotelu i przekonfigurowania routera.

Czy jest możliwość wyłączenia w dnsmasq ustawiania bitu AD w zapytaniach DNS przez niego wysyłanych ?

Bit AD w zapytaniach DNS można wyłączyć w dig za pomocą "+noadflag", lecz jak wymusić to samo w dnsmasq ?

$ dig controleur.wifipass.org @10.10.128.1

; <<>> DiG 9.11.9 <<>> controleur.wifipass.org @10.10.128.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 26726
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;controleur.wifipass.org.       IN      A

;; Query time: 3 msec
;; SERVER: 10.10.128.1#53(10.10.128.1)
;; WHEN: Tue Jan 20 18:32:01 CET 2026
;; MSG SIZE  rcvd: 41


$ dig +noadflag controleur.wifipass.org @10.10.128.1

; <<>> DiG 9.11.9 <<>> +noadflag controleur.wifipass.org @10.10.128.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63649
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;controleur.wifipass.org.       IN      A

;; ANSWER SECTION:
controleur.wifipass.org. 5      IN      A       10.10.0.11

;; Query time: 3 msec
;; SERVER: 10.10.128.1#53(10.10.128.1)
;; WHEN: Tue Jan 20 18:32:24 CET 2026
;; MSG SIZE  rcvd: 57

2

Odp: dnsmasq bit AD - problem z captive portal na hotelowym WiFi

Na 99% strzelam że nie to jest problemem, a fakt że zwracany jest adres z puli prywatnej i w logach masz informację o tym. Jeżeli jest informacja w logach o tym to zrób

uci set dhcp.@dnsmasq[0].rebind_protection=1
uci add_list dhcp.@dnsmasq[0].rebind_domain=controleur.wifipass.org
uci commit
/etc/init.d/dnsmasq restart
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3 (edytowany przez tejotka 2026-01-22 21:58:05)

Odp: dnsmasq bit AD - problem z captive portal na hotelowym WiFi

Dziękuję, spróbuję przy następnej wizycie w tej sieci hoteli.
Chociaż powyższe wyniki dig odpytujące hotelowy serwer DNS są z laptopa (cygwin), więc zakładam, że dnsmasq na routerze nie brał udziału w ich procesowaniu.

4 (edytowany przez Cezary 2026-01-23 07:21:18)

Odp: dnsmasq bit AD - problem z captive portal na hotelowym WiFi

Laptop z zapytaniami ma się nijak do tego co robi dnsmasq na routerze. Domyślnie jest skonfigurowany tak żeby się buntował jeżeli zwracane są lokalne adresy dla domen (to zabezpieczenie jest), więc nie będzie odpytywał takich domen. Więc i nie działało ci to logowanie do portalu...

Daj znać jak będziesz na miejscu, będziemy rozwiązywać problem on-line smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.