Tailscale (Gateway dashboard)

OpenClaw có thể tự động cấu hình Tailscale Serve (tailnet) hoặc Funnel (public) cho Gateway dashboard và cổng WebSocket. Điều này giúp Gateway vẫn bind với loopback trong khi Tailscale cung cấp HTTPS, routing, và (với Serve) các header nhận dạng.

Các chế độ

  • serve: Chỉ dùng trong Tailnet qua tailscale serve. Gateway vẫn ở 127.0.0.1.
  • funnel: Public HTTPS qua tailscale funnel. OpenClaw yêu cầu shared password.
  • off: Mặc định (không tự động hóa Tailscale).

Xác thực

Đặt gateway.auth.mode để kiểm soát handshake:

  • token (mặc định khi OPENCLAW_GATEWAY_TOKEN được set)
  • password (shared secret qua OPENCLAW_GATEWAY_PASSWORD hoặc config)

Khi tailscale.mode = "serve"gateway.auth.allowTailscaletrue, các request Serve proxy hợp lệ có thể xác thực qua Tailscale identity headers (tailscale-user-login) mà không cần cung cấp token/password. OpenClaw sẽ xác minh danh tính bằng cách resolve địa chỉ x-forwarded-for qua Tailscale daemon local (tailscale whois) và khớp nó với header trước khi chấp nhận. OpenClaw chỉ coi một request là Serve khi nó đến từ loopback với các header x-forwarded-for, x-forwarded-proto, và x-forwarded-host của Tailscale. Để yêu cầu credentials rõ ràng, đặt gateway.auth.allowTailscale: false hoặc bắt buộc gateway.auth.mode: "password".

Ví dụ config

Chỉ dùng Tailnet (Serve)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" },
  },
}

Mở: https://<magicdns>/ (hoặc gateway.controlUi.basePath mà các bạn đã config)

Chỉ dùng Tailnet (bind trực tiếp vào Tailnet IP)

Dùng cách này khi các bạn muốn Gateway lắng nghe trực tiếp trên Tailnet IP (không dùng Serve/Funnel).

{
  gateway: {
    bind: "tailnet",
    auth: { mode: "token", token: "your-token" },
  },
}

Kết nối từ thiết bị Tailnet khác:

  • Control UI: http://<tailscale-ip>:18789/
  • WebSocket: ws://<tailscale-ip>:18789

Lưu ý: loopback (http://127.0.0.1:18789) sẽ không hoạt động ở chế độ này.

Public internet (Funnel + shared password)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password", password: "replace-me" },
  },
}

Nên dùng OPENCLAW_GATEWAY_PASSWORD thay vì commit password vào disk.

Ví dụ CLI

openclaw gateway --tailscale serve
openclaw gateway --tailscale funnel --auth password

Lưu ý

  • Tailscale Serve/Funnel yêu cầu tailscale CLI được cài đặt và đã đăng nhập.
  • tailscale.mode: "funnel" sẽ từ chối khởi động trừ khi auth mode là password để tránh public exposure.
  • Đặt gateway.tailscale.resetOnExit nếu các bạn muốn OpenClaw hoàn tác config tailscale serve hoặc tailscale funnel khi shutdown.
  • gateway.bind: "tailnet" là bind trực tiếp vào Tailnet (không có HTTPS, không có Serve/Funnel).
  • gateway.bind: "auto" ưu tiên loopback; dùng tailnet nếu các bạn chỉ muốn Tailnet.
  • Serve/Funnel chỉ expose Gateway control UI + WS. Các node kết nối qua cùng Gateway WS endpoint, nên Serve có thể hoạt động cho node access.

Điều khiển browser (Gateway từ xa + browser local)

Nếu các bạn chạy Gateway trên một máy nhưng muốn điều khiển browser trên máy khác, hãy chạy một node host trên máy có browser và giữ cả hai trên cùng tailnet. Gateway sẽ proxy các hành động browser đến node; không cần control server riêng hay Serve URL.

Tránh dùng Funnel cho browser control; coi node pairing như operator access.

Yêu cầu và giới hạn của Tailscale

  • Serve yêu cầu HTTPS được bật cho tailnet của các bạn; CLI sẽ nhắc nếu thiếu.
  • Serve inject Tailscale identity headers; Funnel thì không.
  • Funnel yêu cầu Tailscale v1.38.3+, MagicDNS, HTTPS được bật, và funnel node attribute.
  • Funnel chỉ hỗ trợ các cổng 443, 8443, và 10000 qua TLS.
  • Funnel trên macOS yêu cầu phiên bản Tailscale app open-source.

Tìm hiểu thêm