Modi
serve: Alleen-tailnet Serve viatailscale serve. De gateway blijft op127.0.0.1.funnel: Publieke HTTPS viatailscale funnel. OpenClaw vereist een gedeeld wachtwoord.off: Standaard (geen Tailscale-automatisering).
off betekent dat OpenClaw Serve of Funnel niet beheert; het betekent niet dat de
lokale Tailscale-daemon is gestopt of afgemeld.
Auth
Stelgateway.auth.mode in om de handshake te beheren:
none(alleen private ingress)token(standaard wanneerOPENCLAW_GATEWAY_TOKENis ingesteld)password(gedeeld geheim viaOPENCLAW_GATEWAY_PASSWORDof configuratie)trusted-proxy(identiteitsbewuste reverse proxy; zie Trusted Proxy Auth)
tailscale.mode = "serve" en gateway.auth.allowTailscale true is,
kan Control UI/WebSocket-auth Tailscale-identiteitsheaders gebruiken
(tailscale-user-login) zonder een token/wachtwoord te leveren. OpenClaw verifieert
de identiteit door het x-forwarded-for-adres via de lokale Tailscale-
daemon (tailscale whois) op te lossen en dit met de header te vergelijken voordat die wordt geaccepteerd.
OpenClaw behandelt een verzoek alleen als Serve wanneer het vanaf loopback binnenkomt met
Tailscale’s x-forwarded-for, x-forwarded-proto en x-forwarded-host-
headers.
Voor Control UI-operatorsessies die browserapparaatidentiteit bevatten, slaat dit
geverifieerde Serve-pad ook de device-pairing-roundtrip over. Het omzeilt
browserapparaatidentiteit niet: clients zonder apparaat worden nog steeds geweigerd, en node-role-
of niet-Control UI-WebSocket-verbindingen volgen nog steeds de normale pairing- en
auth-controles.
HTTP API-eindpunten (bijvoorbeeld /v1/*, /tools/invoke en /api/channels/*)
gebruiken geen Tailscale-identiteitsheader-auth. Ze volgen nog steeds de normale
HTTP-auth-modus van de gateway: standaard auth met gedeeld geheim, of een bewust
geconfigureerde trusted-proxy / private-ingress none-setup.
Deze tokenloze flow gaat ervan uit dat de gatewayhost vertrouwd is. Als niet-vertrouwde lokale code
op dezelfde host kan worden uitgevoerd, schakel dan gateway.auth.allowTailscale uit en vereis in plaats daarvan
token-/wachtwoord-auth.
Om expliciete gedeelde-geheim-inloggegevens te vereisen, stel gateway.auth.allowTailscale: false
in en gebruik gateway.auth.mode: "token" of "password".
Configuratievoorbeelden
Alleen-tailnet (Serve)
https://<magicdns>/ (of je geconfigureerde gateway.controlUi.basePath)
Om de Control UI via een benoemde Tailscale Service bloot te stellen in plaats van via de
apparaathostnaam, stel gateway.tailscale.serviceName in op de Servicenaam:
https://openclaw.<tailnet-name>.ts.net/ in plaats van de apparaathostnaam.
Tailscale Services vereisen dat de host een goedgekeurde getagde node in je
tailnet is. Configureer de tag en keur de Service goed in Tailscale voordat je
deze optie inschakelt, anders mislukt tailscale serve --service=... tijdens het starten van de gateway.
Alleen-tailnet (binden aan Tailnet-IP)
Gebruik dit wanneer je wilt dat de Gateway rechtstreeks op het Tailnet-IP luistert (geen Serve/Funnel).- Control UI:
http://<tailscale-ip>:18789/ - WebSocket:
ws://<tailscale-ip>:18789
Loopback (
http://127.0.0.1:18789) werkt niet in deze modus.Publiek internet (Funnel + gedeeld wachtwoord)
OPENCLAW_GATEWAY_PASSWORD boven het committen van een wachtwoord naar schijf.
CLI-voorbeelden
Opmerkingen
- Tailscale Serve/Funnel vereist dat de
tailscaleCLI is geïnstalleerd en aangemeld. tailscale.mode: "funnel"weigert te starten tenzij de auth-moduspasswordis, om publieke blootstelling te vermijden.gateway.tailscale.serviceNamegeldt alleen voor Serve-modus en wordt doorgegeven aantailscale serve --service=<name>. De waarde moet Tailscale’ssvc:<dns-label>-Servicenaamindeling gebruiken, bijvoorbeeldsvc:openclaw. Tailscale vereist dat Service-hosts getagde nodes zijn, en de Service moet mogelijk in de beheerconsole worden goedgekeurd voordat Serve deze kan publiceren.- Stel
gateway.tailscale.resetOnExitin als je wilt dat OpenClaw de configuratie vantailscale serveoftailscale funnelbij afsluiten ongedaan maakt. - Stel
gateway.tailscale.preserveFunnel: truein om een extern geconfigureerdetailscale funnel-route actief te houden over gateway-herstarts heen. Wanneer dit is ingeschakeld en de gateway inmode: "serve"draait, controleert OpenClawtailscale funnel statusvoordat Serve opnieuw wordt toegepast en slaat dit over wanneer een Funnel-route de gatewaypoort al dekt. Het door OpenClaw beheerde Funnel-beleid met alleen wachtwoord blijft ongewijzigd. gateway.bind: "tailnet"is een directe Tailnet-binding (geen HTTPS, geen Serve/Funnel).gateway.bind: "auto"geeft de voorkeur aan loopback; gebruiktailnetals je alleen-tailnet wilt.- Serve/Funnel stelt alleen de Gateway control UI + WS bloot. Nodes verbinden via hetzelfde Gateway WS-eindpunt, dus Serve kan werken voor node-toegang.
Browserbesturing (externe Gateway + lokale browser)
Als je de Gateway op één machine draait maar een browser op een andere machine wilt aansturen, draai dan een nodehost op de browsermachine en houd beide op hetzelfde tailnet. De Gateway proxyt browseracties naar de node; er is geen aparte controleserver of Serve-URL nodig. Vermijd Funnel voor browserbesturing; behandel node-pairing als operatortoegang.Tailscale-vereisten + limieten
- Serve vereist dat HTTPS is ingeschakeld voor je tailnet; de CLI vraagt erom als dit ontbreekt.
- Serve injecteert Tailscale-identiteitsheaders; Funnel doet dat niet.
- Funnel vereist Tailscale v1.38.3+, MagicDNS, ingeschakelde HTTPS en een funnel-nodeattribuut.
- Funnel ondersteunt via TLS alleen poorten
443,8443en10000. - Funnel op macOS vereist de open-source Tailscale-appvariant.
Meer informatie
- Overzicht van Tailscale Serve: https://tailscale.com/kb/1312/serve
tailscale serve-commando: https://tailscale.com/kb/1242/tailscale-serve- Overzicht van Tailscale Funnel: https://tailscale.com/kb/1223/tailscale-funnel
tailscale funnel-commando: https://tailscale.com/kb/1311/tailscale-funnel