OpenClaw官方文档最近更新了,截至2026年3月的版本,为局域网访问配置带来了不少实质性变化。从网络架构到安全加固,再到自动化配对,整个配置流程都做了重新梳理。下面把这套新指南整合一下,直接上干货。

一、核心配置命令(基于新版网关协议)
先看几个基础性的配置命令,这些是搭建网关的起点。
启用LAN多接口监听
新参数bind=lan替代了旧版的0.0.0.0,能自动绑定所有局域网接口,省去了手动指定IP的麻烦:openclaw config set gateway.bind lan
智能本地配对策略
这个新功能挺实用的:自动批准来自同一主机或同一Tailnet内设备的连接请求,不需要每次手动确认:openclaw config set gateway.pairing.autoApproveLocal true
动态认证令牌管理
Token不再是一锤子买卖了。现在可以生成带时效性的Token,推荐每24小时轮换一次:openclaw config set gateway.auth.token $(openclaw doctor --generate-tmp-token 86400)
强化安全基线
TLS加密和严格的CORS策略现在是标配:openclaw config set gateway.security.tls.enabled true openclaw config set gateway.http.corsAllowedOrigins "['https://*.yourdomain.com']"
二、高级网络配置(文档新增模块)
这部分是文档中新增的模块,主要是针对更复杂的网络场景。
Bonjour服务发现优化
mDNS服务名默认注册为openclaw.local,局域网内其他设备可以直接通过这个名字访问:openclaw config set discovery.bonjour.enabled true
Tailscale集成(零配置内网穿透)
如果你在用Tailscale,这个功能可以说是一键打通。只需要提供你的Tailnet ID,就能自动建立安全隧道,省去了手动配置端口转发的痛苦:openclaw config set remoteAccess.tailnetId TAILNET_ID_FROM_TAILSCALE
混合云部署支持
对于跨云部署的场景,新引入了混合传输协议支持,结合了QUIC和WebSocket两种传输方式:openclaw config set transport.mixedMode.enabled true
三、验证与调试流程(含新诊断工具)
配置完成之后,最重要的就是验证和调试。新版提供了几个新的诊断工具。
网关健康检查
使用openclaw doctor network --verbose,关键输出指标是看这一行:Gateway API accessible at https://[LAN_IP]:18789。看到了就说明网关正常启动了。跨设备访问测试
在另一台设备上,优先尝试通过Bonjour解析访问https://openclaw.local:18789;如果不行,直接用IP地址:https://[LAN_IP]:18789。故障排查命令
新增了专门针对网络层的排障工具,直接抓包分析或生成连接矩阵,定位问题非常直观:openclaw debug network-packet-capture openclaw debug connectivity-matrix
四、安全加固建议(基于MITRE ATLAS框架)
安全永远是第一位的,尤其是局域网网关直接暴露在内部网络中。
最小权限原则
限制网关进程的网络权限,只允许它绑定所需的服务端口:sudo setcap cap_net_bind_service=+ep /usr/bin/openclaw-gateway
持续监控告警
在Prometheus中配置告警规则,例如网关响应时间超过5秒就触发警告:- alert: HighGatewayLatency expr: gateway_response_time_seconds > 5 for: 1m labels: severity: warning物理层防护
通过udev规则限制网卡绑定,指定只有特定的MAC地址才能启用网关:echo 'SUBSYSTEM=="net", ACTION=="add", ATTR{address}=="XX:XX:XX:XX:XX:XX", RUN+="/sbin/ip link set $IFACE up mtu 1400"' | sudo tee /etc/udev/rules.d/99-openclaw.rules
五、版本兼容性矩阵
最后是版本兼容性说明。不同版本支持的功能差异挺大的,直接看表:
| 功能特性 | v1.8.x+ | v2.0+ | v2.2+ |
|---|---|---|---|
bind=lan 多接口监听 | ✔️ | ✔️ | ✔️ |
| 动态令牌轮换 | ❌ | ✔️ | ✔️ |
| mDNS服务发现 | ✔️ | ✔️ | ✔️ |
| Tailnet零配置隧道 | ❌ | ❌ | ✔️ |
| 混合传输协议 | ❌ | ✔️ | ✔️ |
总结一下,通过以上更新,OpenClaw局域网访问方案已经实现了零配置内网穿透、自动化安全加固和生产级可观测性。建议立即升级至v2.2+版本以获得完整功能集,安全方面可以参考官方Security Hub获取最新的威胁情报更新。
有时候,配置完成后会碰到这样一个报错:跨域问题已经解决了,但浏览器依然提示连接被拒绝。这其实说明你撞上了OpenClaw的另一道更硬核的安全防线——设备身份验证。
为什么会报这个错?
OpenClaw在2026+版本做了一个重要升级:Control UI强制要求在安全上下文中运行。
什么是安全上下文?只有这两种情况才算:
| ✅ 安全上下文 | ❌ 非安全上下文 |
|---|---|
| https://your-domain.com | https://192.168.1.100:18789 |
| https://localhost:18789 | https://公网IP:18789 |
| https://127.0.0.1:18789 | 任何 HTTP + IP 地址的组合 |
当你用 https://IP:18789 访问时,浏览器判定这是非安全上下文,直接屏蔽了Web Crypto API。而OpenClaw恰恰依赖这个API来生成设备身份、做认证配对。认证做不了,网关只能无情拒绝连接。
⚠️ 关键提醒:即使你配置了
allowInsecureAuth: true,也绕不过这一关!因为浏览器层面的限制是硬性的,不是网关能决定的。
三种解决方案,按推荐程度排序
方案一:SSH 隧道转发(强烈推荐)
这是最优雅、最安全的方案,不需要改任何配置,也不需要SSL证书,一行命令搞定。
原理:在你自己的电脑上建立一条SSH隧道,把远程服务器的18789端口“搬”到本地,然后用localhost访问——浏览器认为这是安全上下文,一切顺理成章。
# 在本地终端执行 ssh -L 18789:localhost:18789 username@服务器IP
举个例子,如果你的树莓派/服务器IP是 192.168.1.100,用户名叫 pi:
ssh -L 18789:localhost:18789 pi@192.168.1.100
保持这个终端窗口不要关,然后在浏览器打开:
https://127.0.0.1:18789/?token=你的Token
完美解决!
不知道Token?在服务器上运行:
openclaw config get auth.token
方案二:配置 HTTPS(适合固定域名访问)
如果你有域名,并且想长期稳定地通过域名访问,这是最佳路径。
最简单的方式是使用Tailscale Serve,它会自动帮你搞定SSL证书。如果你有自己的域名和SSL证书,也可以在Nginx/Caddy等反向袋里上配置HTTPS,然后把网关绑定的IP加到 gateway.trustedProxies 中,让OpenClaw正确识别真实客户端IP。
方案三:暴力禁用设备身份验证(仅限紧急/测试场景)
⚠️ 这是一个严重的安全降级,官方明确警告不建议在生产环境使用。
修改 ~/.openclaw/openclaw.json 配置文件:
{
"gateway": {
"port": 18789,
"bind": "lan",
"controlUi": {
"allowedOrigins": [
"https://127.0.0.1:18789",
"https://你的IP:18789"
],
"allowInsecureAuth": true,
"dangerouslyDisableDeviceAuth": true
}
}
}
保存后重启网关:
openclaw gateway restart
这样网关就不再检查设备身份了,直接用Token认证,浏览器也不会再拦你了。
方案对比一览
| SSH 隧道 | HTTPS | 禁用设备认证 | |
|---|---|---|---|
| 安全性 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐ |
| 配置难度 | 一行命令 | 中等 | 改配置文件 |
| 适用场景 | 临时管理、日常使用 | 固定域名长期访问 | 紧急调试、测试环境 |
| 官方推荐 | ✅ | ✅ | ❌ |
一句话总结:能用SSH隧道就用SSH隧道,既安全又省事;有域名就配HTTPS;实在不行才考虑禁用设备认证。千万别把 dangerouslyDisableDeviceAuth 开着不管——官方的安全审计工具会专门检测这个配置并报警告。
