EnglishРусский中文

Урок 6. Удалённый доступ#

Зачем это нужно#

Вы запустили OpenClaw на сервере (урок 5). Но как управлять им с ноутбука или телефона? Как безопасно подключиться к Gateway, который работает на другой машине? В этом уроке разберём способы удалённого доступа — от простого SSH-туннеля до современного Tailscale.

Главное правило безопасности#

Держите Gateway на loopback — пусть он слушает только 127.0.0.1 (самого себя), а доступ извне обеспечивайте через безопасный туннель.

Это значит: Gateway не «торчит» в интернет, а вы подключаетесь к нему через защищённый канал.

Сетевая модель OpenClaw#

Вы (ноутбук) ──туннель──→ Сервер (Gateway на 127.0.0.1:18789)
                                ↕
Телефон (нода) ──туннель──→ Тот же Gateway
                                ↕
                           Telegram, WhatsApp, Discord...
  • Один Gateway — единственная точка, через которую проходит всё
  • Gateway по умолчанию слушает на 127.0.0.1:18789 (только локальные подключения)
  • Ноды, CLI, приложения — все подключаются к этому порту

Способ 1: SSH-туннель (универсальный)#

SSH-туннель — это как секретный подземный ход между вашим компьютером и сервером. Снаружи его не видно, но вы можете через него общаться.

Создание туннеля#

ssh -N -L 18789:127.0.0.1:18789 user@ваш-сервер

Что это значит:

  • -N — не открывать терминал на сервере, только туннель
  • -L 18789:127.0.0.1:18789 — перенаправить ваш локальный порт 18789 на порт 18789 сервера
  • user@ваш-сервер — подключение к серверу

После создания туннеля#

Всё работает так, будто Gateway у вас на компьютере:

openclaw health        # проверка здоровья
openclaw status --deep # подробный статус

Браузер: http://127.0.0.1:18789/ — панель управления.

Настройка CLI для удалённого доступа#

Чтобы не запоминать адрес, пропишите в конфигурации:

{
  gateway: {
    mode: "remote",
    remote: {
      url: "ws://127.0.0.1:18789",
      token: "ваш-токен"
    }
  }
}

Способ 2: Tailscale (рекомендуемый)#

Tailscale — это бесплатный VPN-сервис, который создаёт защищённую сеть между вашими устройствами. Представьте, что все ваши устройства подключены к одной домашней сети, даже если они в разных странах.

Почему Tailscale лучше SSH#

SSH-туннель Tailscale
Настройка Нужно создавать каждый раз Один раз настроил — работает
Мобильные устройства Сложно Есть приложения для iOS/Android
Скорость подключения Мгновенно Мгновенно
HTTPS Нужно настраивать отдельно Встроенный через Serve

Настройка Tailscale#

  1. Установите Tailscale на сервер и на ноутбук: tailscale.com
  2. Авторизуйтесь на обоих устройствах

Tailscale Serve (доступ внутри сети)#

Tailscale Serve делает ваш Gateway доступным по HTTPS внутри вашей сети Tailscale:

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" }
  }
}

Откройте https://ваш-сервер.tailnet/ — панель управления с HTTPS.

Tailscale Funnel (публичный доступ)#

Если нужен доступ из интернета (например, для вебхуков):

{
  gateway: {
    tailscale: { mode: "funnel" }
  }
}

⚠️ При использовании Funnel обязательно настройте пароль:

export OPENCLAW_GATEWAY_PASSWORD="надёжный-пароль"

Авторизация через Tailscale#

Когда используется Tailscale Serve, OpenClaw может автоматически доверять подключениям из вашей сети:

{
  gateway: {
    auth: {
      allowTailscale: true  // доверять подключениям из Tailscale
    }
  }
}

Способ 3: macOS-приложение «Remote over SSH»#

Если у вас Mac, приложение OpenClaw умеет автоматически:

  • Создавать SSH-туннель к серверу
  • Показывать статус Gateway
  • Открывать WebChat

Настройте в: Settings → General → «OpenClaw runs» → Remote.

Привязка Gateway к сети#

По умолчанию Gateway слушает только 127.0.0.1. Можно изменить:

Значение bind Что значит
"loopback" Только этот компьютер (по умолчанию)
"lan" Доступно в локальной сети
"tailnet" Доступно через Tailscale
"0.0.0.0" Доступно всем (опасно!)

⚠️ При любом bind кроме loopback обязательно используйте токен!

openclaw gateway --bind tailnet --token ваш-секретный-токен

Правила безопасности#

  1. Loopback + туннель — самый безопасный вариант
  2. Если bind не loopback — обязательно настройте gateway.auth (токен или пароль)
  3. Никогда не выставляйте Gateway в интернет без авторизации
  4. Tailscale Serve + allowTailscale: true — удобный и безопасный компромисс
  5. Для публичного доступа через Funnel — используйте пароль

Итоги урока#

  • Gateway по умолчанию слушает только localhost — это безопасно
  • SSH-туннель — универсальный способ, работает везде
  • Tailscale — современный VPN, удобнее SSH для повседневного использования
  • Tailscale Serve даёт HTTPS и авторизацию внутри вашей сети
  • При открытии Gateway в сеть всегда используйте токен или пароль
  • macOS-приложение умеет автоматически создавать SSH-туннели