الويب

يقدّم Gateway واجهة تحكم عبر المتصفح صغيرة (Vite + Lit) من المنفذ نفسه مثل Gateway WebSocket:

الافتراضي: http://<host>:18789/
مع gateway.tls.enabled: true: https://<host>:18789/
بادئة اختيارية: عيّن gateway.controlUi.basePath (مثل /openclaw)

توجد الإمكانات في واجهة التحكم. تركز بقية هذه الصفحة على أوضاع الربط، والأمان، والأسطح المواجهة للويب.

Webhooks

عندما تكون hooks.enabled=true، يوفّر Gateway أيضًا نقطة نهاية Webhook صغيرة على خادم HTTP نفسه. راجع إعدادات Gateway ← hooks للمصادقة والحمولات.

الإعدادات (مفعّلة افتراضيًا)

تكون واجهة التحكم مفعّلة افتراضيًا عند وجود الأصول (dist/control-ui). يمكنك التحكم بها عبر الإعدادات:

{
  gateway: {
    controlUi: { enabled: true, basePath: "/openclaw" }, // basePath optional
  },
}

الوصول عبر Tailscale

Serve مدمج (موصى به)

أبقِ Gateway على loopback ودع Tailscale Serve يعمل كوكيل له:

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" },
  },
}

ثم ابدأ تشغيل Gateway:

openclaw gateway

افتح:

https://<magicdns>/ (أو gateway.controlUi.basePath الذي أعددته)

ربط Tailnet + رمز

{
  gateway: {
    bind: "tailnet",
    controlUi: { enabled: true },
    auth: { mode: "token", token: "your-token" },
  },
}

ثم ابدأ تشغيل Gateway (يستخدم هذا المثال غير المعتمد على loopback مصادقة رمز سر مشترك):

openclaw gateway

افتح:

http://<tailscale-ip>:18789/ (أو gateway.controlUi.basePath الذي أعددته)

الإنترنت العام (Funnel)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password" }, // or OPENCLAW_GATEWAY_PASSWORD
  },
}

ملاحظات الأمان

مصادقة Gateway مطلوبة افتراضيًا (رمز، أو كلمة مرور، أو وكيل موثوق، أو ترويسات هوية Tailscale Serve عند تفعيلها).
لا تزال عمليات الربط غير المعتمدة على loopback تتطلب مصادقة Gateway. عمليًا، يعني ذلك مصادقة الرمز/كلمة المرور أو وكيلاً عكسيًا مدركًا للهوية مع gateway.auth.mode: "trusted-proxy".
ينشئ المعالج مصادقة سر مشترك افتراضيًا، وغالبًا ما يولّد رمز Gateway (حتى على loopback).
في وضع السر المشترك، ترسل واجهة المستخدم connect.params.auth.token أو connect.params.auth.password.
عندما تكون gateway.tls.enabled: true، تعرض أدوات لوحة المعلومات المحلية والحالة عناوين URL للوحة المعلومات بصيغة https:// وعناوين URL لـ WebSocket بصيغة wss://.
في الأوضاع التي تحمل هوية مثل Tailscale Serve أو trusted-proxy، يتم استيفاء فحص مصادقة WebSocket من ترويسات الطلب بدلًا من ذلك.
لعمليات نشر واجهة التحكم غير المعتمدة على loopback، عيّن gateway.controlUi.allowedOrigins صراحةً (الأصول الكاملة). بدون ذلك، يُرفض بدء تشغيل Gateway افتراضيًا.
يفعّل gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true وضع الرجوع إلى أصل ترويسة Host، لكنه تخفيض أمني خطير.
مع Serve، يمكن لترويسات هوية Tailscale أن تستوفي مصادقة واجهة التحكم/WebSocket عندما تكون gateway.auth.allowTailscale هي true (بدون الحاجة إلى رمز/كلمة مرور). لا تستخدم نقاط نهاية HTTP API ترويسات هوية Tailscale هذه؛ بل تتبع وضع مصادقة HTTP العادي الخاص بـ Gateway بدلًا من ذلك. عيّن gateway.auth.allowTailscale: false لطلب بيانات اعتماد صريحة. راجع Tailscale والأمان. يفترض هذا التدفق بلا رمز أن مضيف Gateway موثوق.
يتطلب gateway.tailscale.mode: "funnel" أن يكون gateway.auth.mode: "password" (كلمة مرور مشتركة).

بناء واجهة المستخدم

يقدّم Gateway الملفات الثابتة من dist/control-ui. ابنِها باستخدام:

pnpm ui:build

Gateway

Remote access

Security

Nodes and media

Web interfaces

Webhooks

الإعدادات (مفعّلة افتراضيًا)

الوصول عبر Tailscale

Serve مدمج (موصى به)

ربط Tailnet + رمز

الإنترنت العام (Funnel)

ملاحظات الأمان

بناء واجهة المستخدم

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​Webhooks

​الإعدادات (مفعّلة افتراضيًا)

​الوصول عبر Tailscale

​Serve مدمج (موصى به)

​ربط Tailnet + رمز

​الإنترنت العام (Funnel)

​ملاحظات الأمان

​بناء واجهة المستخدم

Webhooks

الإعدادات (مفعّلة افتراضيًا)

الوصول عبر Tailscale

Serve مدمج (موصى به)

ربط Tailnet + رمز

الإنترنت العام (Funnel)

ملاحظات الأمان

بناء واجهة المستخدم