Web interfaces
Web
Das Gateway stellt eine kleine Browser-Control UI (Vite + Lit) über denselben Port wie das Gateway-WebSocket bereit:
- Standard:
http://<host>:18789/ - mit
gateway.tls.enabled: true:https://<host>:18789/ - optionales Präfix: Legen Sie
gateway.controlUi.basePathfest (z. B./openclaw)
Funktionen finden Sie unter Control UI. Der Rest dieser Seite konzentriert sich auf Bind-Modi, Sicherheit und webseitige Oberflächen.
Webhooks
Wenn hooks.enabled=true ist, stellt das Gateway außerdem einen kleinen Webhook-Endpunkt auf demselben HTTP-Server bereit.
Siehe Gateway-Konfiguration → hooks für Authentifizierung + Payloads.
Konfiguration (standardmäßig aktiviert)
Die Control UI ist standardmäßig aktiviert, wenn Assets vorhanden sind (dist/control-ui).
Sie können sie über die Konfiguration steuern:
{
gateway: {
controlUi: { enabled: true, basePath: "/openclaw" }, // basePath optional
},
}
Tailscale-Zugriff
Integriertes Serve (empfohlen)
Lassen Sie das Gateway auf loopback und lassen Sie Tailscale Serve es per Proxy weiterleiten:
{
gateway: {
bind: "loopback",
tailscale: { mode: "serve" },
},
}
Starten Sie dann das Gateway:
openclaw gateway
Öffnen Sie:
https://<magicdns>/(oder Ihr konfiguriertesgateway.controlUi.basePath)
Tailnet-Bind + Token
{
gateway: {
bind: "tailnet",
controlUi: { enabled: true },
auth: { mode: "token", token: "your-token" },
},
}
Starten Sie dann das Gateway (dieses Non-loopback-Beispiel verwendet Shared-Secret-Token-Authentifizierung):
openclaw gateway
Öffnen Sie:
http://<tailscale-ip>:18789/(oder Ihr konfiguriertesgateway.controlUi.basePath)
Öffentliches Internet (Funnel)
{
gateway: {
bind: "loopback",
tailscale: { mode: "funnel" },
auth: { mode: "password" }, // or OPENCLAW_GATEWAY_PASSWORD
},
}
Sicherheitshinweise
- Gateway-Authentifizierung ist standardmäßig erforderlich (Token, Passwort, Trusted-Proxy oder Tailscale Serve-Identity-Header, wenn aktiviert).
- Non-loopback-Bindings erfordern weiterhin Gateway-Authentifizierung. In der Praxis bedeutet das Token-/Passwort-Authentifizierung oder einen identitätsbewussten Reverse Proxy mit
gateway.auth.mode: "trusted-proxy". - Der Assistent erstellt standardmäßig Shared-Secret-Authentifizierung und generiert in der Regel ein Gateway-Token (auch auf loopback).
- Im Shared-Secret-Modus sendet die UI
connect.params.auth.tokenoderconnect.params.auth.password. - Wenn
gateway.tls.enabled: trueist, geben lokale Dashboard- und Status-Helferhttps://-Dashboard-URLs undwss://-WebSocket-URLs aus. - In Modi mit Identitätsinformationen wie Tailscale Serve oder
trusted-proxywird die WebSocket-Authentifizierungsprüfung stattdessen über Request-Header erfüllt. - Für Non-loopback-Control-UI-Bereitstellungen legen Sie
gateway.controlUi.allowedOriginsexplizit fest (vollständige Origins). Ohne diese Einstellung wird der Gateway-Start standardmäßig verweigert. gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=trueaktiviert den Host-Header-Origin-Fallback-Modus, ist jedoch eine gefährliche Sicherheitsherabstufung.- Mit Serve können Tailscale-Identity-Header die Control-UI-/WebSocket-Authentifizierung erfüllen, wenn
gateway.auth.allowTailscaletrueist (kein Token/Passwort erforderlich). HTTP-API-Endpunkte verwenden diese Tailscale-Identity-Header nicht; sie folgen stattdessen dem normalen HTTP-Authentifizierungsmodus des Gateways. Setzen Siegateway.auth.allowTailscale: false, um explizite Zugangsdaten zu verlangen. Siehe Tailscale und Sicherheit. Dieser tokenlose Ablauf setzt voraus, dass der Gateway-Host vertrauenswürdig ist. gateway.tailscale.mode: "funnel"erfordertgateway.auth.mode: "password"(gemeinsames Passwort).
UI erstellen
Das Gateway stellt statische Dateien aus dist/control-ui bereit. Erstellen Sie sie mit:
pnpm ui:build