OpenClaw は、Gateway ダッシュボードと WebSocket ポート向けに Tailscale Serve(tailnet)または Funnel(公開)を自動構成できます。これにより Gateway はループバックにバインドされたまま、Tailscale が HTTPS、ルーティング、および(Serve の場合)ID ヘッダーを提供します。Documentation Index
Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt
Use this file to discover all available pages before exploring further.
モード
serve:tailscale serveによる tailnet 専用 Serve。Gateway は127.0.0.1に留まります。funnel:tailscale funnelによる公開 HTTPS。OpenClaw は共有パスワードを要求します。off: デフォルト(Tailscale 自動化なし)。
off は OpenClaw が Serve または Funnel を管理していないことを意味します。ローカルの Tailscale デーモンが停止している、またはログアウトしているという意味ではありません。
認証
ハンドシェイクを制御するにはgateway.auth.mode を設定します。
none(プライベートな入口のみ)token(OPENCLAW_GATEWAY_TOKENが設定されている場合のデフォルト)password(OPENCLAW_GATEWAY_PASSWORDまたは構成による共有シークレット)trusted-proxy(ID 対応リバースプロキシ。Trusted Proxy Auth を参照)
tailscale.mode = "serve" で gateway.auth.allowTailscale が true の場合、Control UI/WebSocket 認証はトークン/パスワードを指定せずに Tailscale ID ヘッダー(tailscale-user-login)を使用できます。OpenClaw はローカルの Tailscale デーモン(tailscale whois)で x-forwarded-for アドレスを解決し、それをヘッダーと照合してから受け入れることで ID を検証します。OpenClaw は、リクエストがループバックから到着し、Tailscale の x-forwarded-for、x-forwarded-proto、x-forwarded-host ヘッダーを伴う場合にのみ、そのリクエストを Serve として扱います。
ブラウザーのデバイス ID を含む Control UI オペレーターセッションでは、この検証済み Serve パスによりデバイスペアリングの往復も省略されます。これはブラウザーのデバイス ID を迂回するものではありません。デバイスなしのクライアントは引き続き拒否され、ノードロールまたは Control UI 以外の WebSocket 接続は通常のペアリングと認証チェックに従います。
HTTP API エンドポイント(例: /v1/*、/tools/invoke、/api/channels/*)は Tailscale ID ヘッダー認証を使用しません。これらは引き続き Gateway の通常の HTTP 認証モードに従います。デフォルトでは共有シークレット認証、または意図的に構成された trusted-proxy / プライベート入口の none セットアップです。
このトークンなしフローは、Gateway ホストが信頼されていることを前提とします。同じホスト上で信頼できないローカルコードが実行される可能性がある場合は、gateway.auth.allowTailscale を無効にし、代わりにトークン/パスワード認証を要求してください。
明示的な共有シークレット資格情報を要求するには、gateway.auth.allowTailscale: false を設定し、gateway.auth.mode: "token" または "password" を使用します。
構成例
tailnet 専用(Serve)
https://<magicdns>/(または構成済みの gateway.controlUi.basePath)
tailnet 専用(tailnet IP にバインド)
Gateway が tailnet IP で直接待ち受けるようにしたい場合に使用します(Serve/Funnel なし)。- Control UI:
http://<tailscale-ip>:18789/ - WebSocket:
ws://<tailscale-ip>:18789
このモードでは、ループバック(
http://127.0.0.1:18789)は動作しません。公開インターネット(Funnel + 共有パスワード)
OPENCLAW_GATEWAY_PASSWORD を優先してください。
CLI 例
注記
- Tailscale Serve/Funnel には、
tailscaleCLI がインストールされ、ログイン済みである必要があります。 tailscale.mode: "funnel"は、公開露出を避けるため、認証モードがpasswordでない限り起動を拒否します。- シャットダウン時に OpenClaw が
tailscale serveまたはtailscale funnel構成を元に戻すようにしたい場合は、gateway.tailscale.resetOnExitを設定します。 - 外部で構成された
tailscale funnelルートを Gateway の再起動をまたいで維持するには、gateway.tailscale.preserveFunnel: trueを設定します。有効化され、Gateway がmode: "serve"で動作している場合、OpenClaw は Serve を再適用する前にtailscale funnel statusを確認し、Funnel ルートがすでに Gateway ポートをカバーしている場合はスキップします。OpenClaw が管理する Funnel のパスワード専用ポリシーは変更されません。 gateway.bind: "tailnet"は直接の tailnet バインドです(HTTPS なし、Serve/Funnel なし)。gateway.bind: "auto"はループバックを優先します。tailnet 専用にしたい場合はtailnetを使用します。- Serve/Funnel が公開するのは Gateway Control UI + WS のみです。ノードは同じ Gateway WS エンドポイント経由で接続するため、Serve はノードアクセスにも使用できます。
ブラウザー制御(リモート Gateway + ローカルブラウザー)
1 台のマシンで Gateway を実行し、別のマシン上のブラウザーを操作したい場合は、ブラウザーマシン上で ノードホスト を実行し、両方を同じ tailnet に置きます。Gateway はブラウザー操作をノードへプロキシします。別個の制御サーバーや Serve URL は不要です。 ブラウザー制御には Funnel を避け、ノードペアリングをオペレーターアクセスと同様に扱ってください。Tailscale の前提条件 + 制限
- Serve には tailnet で HTTPS が有効になっている必要があります。未設定の場合、CLI がプロンプトを表示します。
- Serve は Tailscale ID ヘッダーを挿入します。Funnel は挿入しません。
- Funnel には Tailscale v1.38.3 以降、MagicDNS、HTTPS の有効化、および funnel ノード属性が必要です。
- Funnel が TLS 経由でサポートするポートは
443、8443、10000のみです。 - macOS 上の Funnel には、オープンソース版の Tailscale アプリが必要です。
詳細情報
- Tailscale Serve 概要: https://tailscale.com/kb/1312/serve
tailscale serveコマンド: https://tailscale.com/kb/1242/tailscale-serve- Tailscale Funnel 概要: https://tailscale.com/kb/1223/tailscale-funnel
tailscale funnelコマンド: https://tailscale.com/kb/1311/tailscale-funnel