Ansible-Installation

Der empfohlene Weg, OpenClaw auf Produktionsservern zu deployen, ist openclaw-ansible — ein automatisierter Installer mit Security-First-Architektur.

Schnellstart

Installation mit einem Befehl:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

Vollständige Anleitung: github.com/openclaw/openclaw-ansible

Das openclaw-ansible Repo ist die zentrale Quelle für Ansible-Deployment. Diese Seite gibt nur einen kurzen Überblick.

Was du bekommst

• Firewall-First-Security: UFW + Docker-Isolation (nur SSH + Tailscale erreichbar)
• Tailscale VPN: Sicherer Remote-Zugriff ohne öffentlich exponierte Services
• Docker: Isolierte Sandbox-Container, nur localhost-Bindings
• Defense in Depth: 4-Schichten-Sicherheitsarchitektur
• Ein-Befehl-Setup: Komplettes Deployment in Minuten
• Systemd-Integration: Auto-Start beim Booten mit Hardening

Voraussetzungen

• OS: Debian 11+ oder Ubuntu 20.04+
• Zugriff: Root- oder sudo-Rechte
• Netzwerk: Internetverbindung für Paketinstallation
• Ansible: 2.14+ (wird automatisch vom Schnellstart-Skript installiert)

Was installiert wird

Das Ansible Playbook installiert und konfiguriert:

1. Tailscale (Mesh-VPN für sicheren Remote-Zugriff)
2. UFW Firewall (nur SSH + Tailscale Ports)
3. Docker CE + Compose V2 (für Agent Sandboxes)
4. Node.js 22.x + pnpm (Runtime-Abhängigkeiten)
5. OpenClaw (Host-basiert, nicht containerisiert)
6. Systemd Service (Auto-Start mit Security-Hardening)

Hinweis: Das Gateway läuft direkt auf dem Host (nicht in Docker), aber Agent Sandboxes nutzen Docker für Isolation. Siehe Sandboxing für Details.

Nach der Installation

Nach Abschluss der Installation wechsle zum openclaw-Benutzer:

sudo -i -u openclaw

Das Post-Install-Skript führt dich durch:

1. Onboarding-Wizard: OpenClaw-Einstellungen konfigurieren
2. Provider-Login: WhatsApp/Telegram/Discord/Signal verbinden
3. Gateway-Test: Installation verifizieren
4. Tailscale-Setup: Mit deinem VPN-Mesh verbinden

Nützliche Befehle

# Service-Status prüfen
sudo systemctl status openclaw

# Live-Logs anzeigen
sudo journalctl -u openclaw -f

# Gateway neustarten
sudo systemctl restart openclaw

# Provider-Login (als openclaw-Benutzer ausführen)
sudo -i -u openclaw
openclaw channels login

Sicherheitsarchitektur

4-Schichten-Verteidigung

1. Firewall (UFW): Nur SSH (22) + Tailscale (41641/udp) öffentlich erreichbar
2. VPN (Tailscale): Gateway nur über VPN-Mesh erreichbar
3. Docker-Isolation: DOCKER-USER iptables-Chain verhindert externe Port-Exposition
4. Systemd-Hardening: NoNewPrivileges, PrivateTmp, unprivilegierter Benutzer

Verifizierung

Teste die externe Angriffsfläche:

nmap -p- YOUR_SERVER_IP

Es sollte nur Port 22 (SSH) offen sein. Alle anderen Services (Gateway, Docker) sind abgeschottet.

Docker-Verfügbarkeit

Docker wird für Agent Sandboxes (isolierte Tool-Ausführung) installiert, nicht um das Gateway selbst zu betreiben. Das Gateway bindet nur an localhost und ist über Tailscale VPN erreichbar.

Siehe Multi-Agent Sandbox & Tools für Sandbox-Konfiguration.

Manuelle Installation

Falls du lieber manuelle Kontrolle über die Automatisierung hast:

# 1. Voraussetzungen installieren
sudo apt update && sudo apt install -y ansible git

# 2. Repository clonen
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Ansible Collections installieren
ansible-galaxy collection install -r requirements.yml

# 4. Playbook ausführen
./run-playbook.sh

# Oder direkt ausführen (dann /tmp/openclaw-setup.sh manuell danach starten)
# ansible-playbook playbook.yml --ask-become-pass

OpenClaw aktualisieren

Der Ansible-Installer richtet OpenClaw für manuelle Updates ein. Siehe Aktualisieren für den Standard-Update-Ablauf.

Um das Ansible Playbook erneut auszuführen (z.B. für Konfigurationsänderungen):

cd openclaw-ansible
./run-playbook.sh

Hinweis: Das ist idempotent und kann beliebig oft ausgeführt werden.

Troubleshooting

Firewall blockiert meine Verbindung

Falls du ausgesperrt bist:

• Stelle sicher, dass du zuerst über Tailscale VPN zugreifen kannst
• SSH-Zugriff (Port 22) ist immer erlaubt
• Das Gateway ist absichtlich nur über Tailscale erreichbar

Service startet nicht

# Logs prüfen
sudo journalctl -u openclaw -n 100

# Berechtigungen verifizieren
sudo ls -la /opt/openclaw

# Manuellen Start testen
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Docker Sandbox-Probleme

# Prüfen ob Docker läuft
sudo systemctl status docker

# Sandbox-Image prüfen
sudo docker images | grep openclaw-sandbox

# Sandbox-Image bauen falls nicht vorhanden
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

Provider-Login schlägt fehl

Stelle sicher, dass du als openclaw-Benutzer arbeitest:

sudo -i -u openclaw
openclaw channels login

Erweiterte Konfiguration

Für detaillierte Sicherheitsarchitektur und Troubleshooting:

• Security Architecture
• Technical Details
• Troubleshooting Guide

Verwandte Themen

• openclaw-ansible — vollständige Deployment-Anleitung
• Docker — containerisiertes Gateway-Setup
• Sandboxing — Agent Sandbox-Konfiguration
• Multi-Agent Sandbox & Tools — Per-Agent-Isolation