OC
OpenClaw 中文解释版

给五岁小朋友也能看懂的说明书
查看原始文档 最近生成:2026/03/08 15:37

简要总结

Tailscale

这页说明书在讲一个叫 Tailscale 的“秘密通道”工具。它就像一个魔法隧道,能帮你把家里的 OpenClaw 网关控制面板安全地分享出去。你可以选择只分享给自己信任的小伙伴们(Serve 模式),或者勇敢地分享给全世界任何人看(Funnel 模式)。当你不知道怎么安全地让别人访问你的网关时,就可以看看这页。

五岁小孩版解释

Tailscale 就像一个专门为你和朋友们建立的秘密网络通道。OpenClaw 网关可以和它一起工作,这样网关自己只需要待在家里(绑定到 127.0.0.1 这个地址),而让 Tailscale 这个“守门员”去处理复杂的 HTTPS 安全连接和访问路由。

第一步:选择分享模式 你需要先告诉 OpenClaw,你想怎么分享你的控制面板:

  1. serve 模式:只分享给你 Tailscale 网络里的朋友们。这就像只允许知道秘密口令的小伙伴来你家玩。
  2. funnel 模式:分享给互联网上的任何人。这就像把你的作品放在一个公共橱窗里展示。为了安全,必须设置一个共享密码。
  3. off 模式:不自动设置 Tailscale,这是默认选项。

第二步:设置访问密码 你需要通过 gateway.auth.mode 来告诉网关,朋友们怎么证明身份:

  • token:使用一个长长的令牌密码(如果设置了 OPENCLAW_GATEWAY_TOKEN 环境变量,就会默认用它)。
  • password:使用一个你们商量好的共享密码(通过 OPENCLAW_GATEWAY_PASSWORD 环境变量或配置文件设置)。

一个特别的“免密码”通道 如果你使用 serve 模式,并且把 gateway.auth.allowTailscale 设为 true,那么从 Tailscale 网络里来的、已经登录的小伙伴,访问控制面板时就可以不用再输入令牌或密码了。网关会通过检查 Tailscale 提供的“身份徽章”(tailscale-user-login 等头部信息)来确认是朋友。 但要小心哦:这只在你完全信任运行网关的这台电脑时才安全。如果电脑上可能有你不信任的程序,请把 gateway.auth.allowTailscale 设为 false,要求大家必须输入密码。

第三步:看看配置例子 这里有几个魔法配方,你可以照着改:

  • 只给朋友们看(Serve):把网关绑定在家(bind: "loopback"),然后设置 tailscale: { mode: "serve" }。朋友们就可以用 https://<你的魔法DNS地址>/ 来访问了。
  • 直接绑定到 Tailscale 网络地址:如果你想跳过 Serve/Funnel,让网关直接在你的 Tailscale 网络里“说话”,就设置 bind: "tailnet"。这样,其他 Tailscale 设备就能用 http://<你的Tailscale IP>:18789/ 来访问了。注意:在这种模式下,本机地址 http://127.0.0.1:18789 是行不通的哦。
  • 分享给全世界(Funnel + 密码):把网关绑定在家,设置 tailscale: { mode: "funnel" },并且必须auth.mode 设为 "password" 并设置一个密码。小提示:密码最好放在 OPENCLAW_GATEWAY_PASSWORD 环境变量里,不要直接写在文件上。

第四步:用命令行试试 你也可以在启动网关时直接告诉它:

  • openclaw gateway --tailscale serve
  • openclaw gateway --tailscale funnel --auth password

一些重要的注意事项

  • 使用前,你需要先在电脑上安装 tailscale 这个命令行工具并登录好。
  • 选择 funnel 模式时,必须设置密码认证,否则它会拒绝启动,这是为了防止你的控制面板被不小心公开。
  • 如果你希望 OpenClaw 退出时自动清理它设置的 Serve/Funnel 规则,可以设置 gateway.tailscale.resetOnExit
  • Serve 和 Funnel 只暴露网关控制面板和 WebSocket。节点(Nodes)通过同一个 WebSocket 连接网关,所以 Serve 模式也能用于节点访问。

关于远程控制的小技巧 如果你在一台电脑上运行网关,但想在另一台电脑的浏览器里控制它,你只需要在运行浏览器的电脑上也运行一个节点主机,并确保两台电脑在同一个 Tailscale 网络里。网关会自动把浏览器操作转给节点,不需要额外的控制服务器或 Serve 网址。 注意:进行这种节点配对操作时,像管理设备一样对待它,避免使用 Funnel 模式。

使用前请检查

  • Serve:需要你的 Tailscale 网络已开启 HTTPS 功能,如果没开,命令行会提示你。
  • Funnel:要求更多!需要 Tailscale 版本在 v1.38.3 以上、开启了 MagicDNS 和 HTTPS,并且你的节点要有使用 Funnel 的权限。它只支持 443844310000 这几个端口。另外,在苹果电脑(macOS)上需要使用开源的 Tailscale 应用版本。