Tailscale (Gateway Dashboard)

OpenClaw kann Tailscale Serve (Tailnet) oder Funnel (öffentlich) automatisch für das Gateway Dashboard und den WebSocket-Port konfigurieren. Das Gateway bleibt dabei an Loopback gebunden, während Tailscale HTTPS, Routing und (bei Serve) Identity-Header bereitstellt.

Modi

  • serve: Nur Tailnet via tailscale serve. Das Gateway bleibt auf 127.0.0.1.
  • funnel: Öffentliches HTTPS via tailscale funnel. OpenClaw erfordert ein gemeinsames Passwort.
  • off: Standard (keine Tailscale-Automatisierung).

Authentifizierung

Mit gateway.auth.mode steuerst du den Handshake:

  • token (Standard, wenn OPENCLAW_GATEWAY_TOKEN gesetzt ist)
  • password (gemeinsames Passwort via OPENCLAW_GATEWAY_PASSWORD oder Config)

Wenn tailscale.mode = "serve" und gateway.auth.allowTailscale auf true steht, können gültige Serve-Proxy-Anfragen sich über Tailscale Identity-Header (tailscale-user-login) authentifizieren, ohne Token oder Passwort anzugeben. OpenClaw verifiziert die Identität, indem es die x-forwarded-for-Adresse über den lokalen Tailscale Daemon (tailscale whois) auflöst und mit dem Header abgleicht. OpenClaw behandelt eine Anfrage nur dann als Serve, wenn sie von Loopback kommt und Tailscales x-forwarded-for, x-forwarded-proto und x-forwarded-host Header enthält. Um explizite Credentials zu erzwingen, setze gateway.auth.allowTailscale: false oder gateway.auth.mode: "password".

Konfigurationsbeispiele

Nur Tailnet (Serve)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" },
  },
}

Öffne: https://<magicdns>/ (oder dein konfigurierter gateway.controlUi.basePath)

Nur Tailnet (direkt an Tailnet-IP binden)

Nutze das, wenn das Gateway direkt auf der Tailnet-IP lauschen soll (ohne Serve/Funnel).

{
  gateway: {
    bind: "tailnet",
    auth: { mode: "token", token: "your-token" },
  },
}

Verbinde dich von einem anderen Tailnet-Gerät:

  • Control UI: http://<tailscale-ip>:18789/
  • WebSocket: ws://<tailscale-ip>:18789

Hinweis: Loopback (http://127.0.0.1:18789) funktioniert in diesem Modus nicht.

Öffentliches Internet (Funnel + gemeinsames Passwort)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password", password: "replace-me" },
  },
}

Nutze besser OPENCLAW_GATEWAY_PASSWORD statt ein Passwort in der Config zu speichern.

CLI-Beispiele

openclaw gateway --tailscale serve
openclaw gateway --tailscale funnel --auth password

Hinweise

  • Tailscale Serve/Funnel erfordert, dass die tailscale CLI installiert und eingeloggt ist.
  • tailscale.mode: "funnel" startet nur, wenn der Auth-Modus password ist, um öffentliche Exposition zu vermeiden.
  • Setze gateway.tailscale.resetOnExit, wenn OpenClaw die tailscale serve- oder tailscale funnel-Konfiguration beim Beenden rückgängig machen soll.
  • gateway.bind: "tailnet" ist eine direkte Tailnet-Bindung (kein HTTPS, kein Serve/Funnel).
  • gateway.bind: "auto" bevorzugt Loopback; nutze tailnet, wenn du nur Tailnet willst.
  • Serve/Funnel exponieren nur das Gateway Control UI + WS. Nodes verbinden sich über denselben Gateway-WS-Endpoint, daher funktioniert Serve auch für Node-Zugriff.

Browser-Steuerung (Remote Gateway + lokaler Browser)

Wenn du das Gateway auf einer Maschine laufen lässt, aber einen Browser auf einer anderen Maschine steuern willst, starte einen Node Host auf der Browser-Maschine und halte beide im selben Tailnet. Das Gateway leitet Browser-Aktionen an den Node weiter; kein separater Control-Server oder Serve-URL nötig.

Vermeide Funnel für Browser-Steuerung; behandle Node Pairing wie Operator-Zugriff.

Tailscale Voraussetzungen + Limits

  • Serve erfordert aktiviertes HTTPS für dein Tailnet; die CLI fragt nach, falls es fehlt.
  • Serve injiziert Tailscale Identity-Header; Funnel nicht.
  • Funnel erfordert Tailscale v1.38.3+, MagicDNS, aktiviertes HTTPS und ein Funnel-Node-Attribut.
  • Funnel unterstützt nur die Ports 443, 8443 und 10000 über TLS.
  • Funnel auf macOS erfordert die Open-Source-Variante der Tailscale-App.

Mehr erfahren