Requisitos previos
- Cuenta de Oracle Cloud (registro) — consulta la guía de registro de la comunidad si encuentras problemas
- Cuenta de Tailscale (gratis en tailscale.com)
- Un par de claves SSH
- Unos 30 minutos
Configuración
Crear una instancia de OCI
- Inicia sesión en Oracle Cloud Console.
- Ve a Compute > Instances > Create Instance.
- Configura:
- Nombre:
openclaw - Imagen: Ubuntu 24.04 (aarch64)
- Forma:
VM.Standard.A1.Flex(Ampere ARM) - OCPU: 2 (o hasta 4)
- Memoria: 12 GB (o hasta 24 GB)
- Volumen de arranque: 50 GB (hasta 200 GB gratis)
- Clave SSH: Añade tu clave pública
- Nombre:
- Haz clic en Create y anota la dirección IP pública.
Conectar y actualizar el sistema
build-essential es necesario para compilar algunas dependencias en ARM.Configurar el usuario y el hostname
Instalar OpenClaw
Configurar el Gateway
Usa autenticación por token con Tailscale Serve para un acceso remoto seguro.
gateway.trustedProxies=["127.0.0.1"] aquí solo se usa para el manejo de IP reenviada/cliente local del proxy local de Tailscale Serve. No es gateway.auth.mode: "trusted-proxy". Las rutas del visor de diff mantienen un comportamiento fail-closed en esta configuración: las solicitudes sin procesar del visor a 127.0.0.1 sin encabezados de proxy reenviados devuelven Diff not found. Usa mode=file / mode=both para adjuntos, o habilita intencionalmente los visores remotos y define plugins.entries.diffs.config.viewerBaseUrl (o pasa un baseUrl de proxy) si necesitas enlaces de visor que se puedan compartir.Bloquear la seguridad de la VCN
Bloquea todo el tráfico excepto Tailscale en el borde de red:
- Ve a Networking > Virtual Cloud Networks en la consola de OCI.
- Haz clic en tu VCN y luego en Security Lists > Default Security List.
- Elimina todas las reglas de entrada excepto
0.0.0.0/0 UDP 41641(Tailscale). - Mantén las reglas de salida predeterminadas (permitir todo el tráfico saliente).
Verificar la postura de seguridad
Con la VCN bloqueada (solo UDP 41641 abierto) y el Gateway enlazado a loopback, el tráfico público queda bloqueado en el borde de red y el acceso administrativo queda limitado a la tailnet. Eso elimina la necesidad de varios pasos tradicionales de endurecimiento de VPS:| Paso tradicional | ¿Necesario? | Por qué |
|---|---|---|
| Firewall UFW | No | La VCN bloquea el tráfico antes de que llegue a la instancia. |
| fail2ban | No | El puerto 22 está bloqueado en la VCN; no hay superficie de fuerza bruta. |
| Endurecimiento sshd | No | Tailscale SSH no usa sshd. |
| Desactivar login root | No | Tailscale autentica por identidad de tailnet, no por usuarios del sistema. |
| Autenticación solo con clave SSH | No | Igual — la identidad de tailnet reemplaza las claves SSH del sistema. |
| Endurecimiento IPv6 | Normalmente no | Depende de la configuración de VCN/subred; verifica qué se asigna/expone realmente. |
chmod 700 ~/.openclawpara restringir los permisos de archivos de credenciales.openclaw security auditpara una comprobación de postura específica de OpenClaw.sudo apt update && sudo apt upgradecon regularidad para parches del sistema operativo.- Revisar periódicamente los dispositivos en la consola de administración de Tailscale.
Notas sobre ARM
El nivel Always Free es ARM (aarch64). La mayoría de las funciones de OpenClaw funcionan bien; una pequeña cantidad de binarios nativos necesitan compilaciones ARM:
- Node.js, Telegram, WhatsApp (Baileys): JavaScript puro, sin problemas.
- La mayoría de los paquetes npm con código nativo: artefactos precompilados
linux-arm64disponibles. - Ayudantes CLI opcionales (por ejemplo, binarios Go/Rust enviados por Skills): comprueba que exista una versión
aarch64/linux-arm64antes de instalarlos.
uname -m (debería imprimir aarch64). Para binarios sin compilación ARM, instálalos desde el código fuente u omítelos.
Persistencia y copias de seguridad
El estado de OpenClaw vive en:~/.openclaw/—openclaw.json,auth-profiles.jsonpor agente, estado de canal/proveedor y datos de sesión.~/.openclaw/workspace/— el espacio de trabajo del agente (SOUL.md, memoria, artefactos).
Alternativa: túnel SSH
Si Tailscale Serve no funciona, usa un túnel SSH desde tu máquina local:http://localhost:18789.
Solución de problemas
La creación de la instancia falla (“Out of capacity”) — Las instancias ARM del nivel gratuito son populares. Prueba otro dominio de disponibilidad o vuelve a intentarlo durante horas de menor demanda. Tailscale no se conecta — Ejecutasudo tailscale up --ssh --hostname=openclaw --reset para volver a autenticarte.
El Gateway no arranca — Ejecuta openclaw doctor --non-interactive y revisa los registros con journalctl --user -u openclaw-gateway.service -n 50.
Problemas con binarios ARM — La mayoría de los paquetes npm funcionan en ARM64. Para binarios nativos, busca versiones linux-arm64 o aarch64. Verifica la arquitectura con uname -m.
Siguientes pasos
- Canales — conecta Telegram, WhatsApp, Discord y más
- Configuración del Gateway — todas las opciones de configuración
- Actualización — mantén OpenClaw actualizado