Gateway
Netzwerk
Dieser Hub verlinkt die Kerndokumentation dazu, wie OpenClaw Geräte über localhost, LAN und Tailnet hinweg verbindet, koppelt und absichert.
Kernmodell
Die meisten Vorgänge laufen über das Gateway (openclaw gateway), einen einzelnen, dauerhaft laufenden Prozess, der Kanalverbindungen und die WebSocket-Steuerungsebene verwaltet.
- Loopback zuerst: Gateway WS verwendet standardmäßig
ws://127.0.0.1:18789. Nicht-Loopback-Bindungen erfordern einen gültigen Gateway-Authentifizierungsweg: Shared-Secret- Token-/Passwortauthentifizierung oder eine korrekt konfigurierte Nicht-Loopback-trusted-proxy-Bereitstellung. - Ein Gateway pro Host wird empfohlen. Für Isolation führen Sie mehrere Gateways mit isolierten Profilen und Ports aus (Mehrere Gateways).
- Canvas-Host wird auf demselben Port wie das Gateway bereitgestellt (
/__openclaw__/canvas/,/__openclaw__/a2ui/) und durch Gateway-Authentifizierung geschützt, wenn er außerhalb von Loopback gebunden ist. - Remote-Zugriff erfolgt typischerweise über SSH-Tunnel oder Tailscale-VPN (Remote-Zugriff).
Wichtige Referenzen:
Kopplung + Identität
- Kopplungsübersicht (DM + Nodes)
- Gateway-verwaltete Node-Kopplung
- Geräte-CLI (Kopplung + Token-Rotation)
- Kopplungs-CLI (DM-Genehmigungen)
Lokales Vertrauen:
- Direkte local loopback-Verbindungen können für die Kopplung automatisch genehmigt werden, damit die UX auf demselben Host reibungslos bleibt.
- OpenClaw verfügt außerdem über einen engen backend-/containerlokalen Selbstverbindungspfad für vertrauenswürdige Shared-Secret-Hilfsabläufe.
- Tailnet- und LAN-Clients, einschließlich Tailnet-Bindungen auf demselben Host, erfordern weiterhin eine explizite Kopplungsgenehmigung.