Web (Gateway)

Das Gateway liefert eine kleine Browser-Control-UI (Vite + Lit) auf demselben Port wie der Gateway-WebSocket:

  • Standard: http://<host>:18789/
  • Optionaler Präfix: setze gateway.controlUi.basePath (z. B. /openclaw)

Funktionen findest du unter Control UI. Diese Seite konzentriert sich auf Bind-Modi, Sicherheit und webfähige Oberflächen.

Webhooks

Wenn hooks.enabled=true, stellt das Gateway auch einen kleinen Webhook-Endpunkt auf demselben HTTP-Server bereit. Siehe Gateway-Konfigurationhooks für Auth + Payloads.

Konfiguration (standardmäßig an)

Die Control UI ist standardmäßig aktiviert, wenn Assets vorhanden sind (dist/control-ui). Du kannst sie über die Konfiguration steuern:

{
  gateway: {
    controlUi: { enabled: true, basePath: "/openclaw" }, // basePath optional
  },
}

Tailscale-Zugang

Integriertes Serve (empfohlen)

Halte das Gateway auf Loopback und lass Tailscale Serve es proxyen:

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" },
  },
}

Dann starte das Gateway:

openclaw gateway

Öffne:

  • https://<magicdns>/ (oder dein konfigurierter gateway.controlUi.basePath)

Tailnet-Bind + Token

{
  gateway: {
    bind: "tailnet",
    controlUi: { enabled: true },
    auth: { mode: "token", token: "your-token" },
  },
}

Dann starte das Gateway (Token erforderlich für nicht-Loopback-Binds):

openclaw gateway

Öffne:

  • http://<tailscale-ip>:18789/ (oder dein konfigurierter gateway.controlUi.basePath)

Öffentliches Internet (Funnel)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password" }, // oder OPENCLAW_GATEWAY_PASSWORD
  },
}

Sicherheitshinweise

  • Gateway-Auth ist standardmäßig erforderlich (Token/Passwort oder Tailscale-Identity-Header).
  • Nicht-Loopback-Binds erfordern weiterhin ein geteiltes Token/Passwort (gateway.auth oder Env).
  • Der Assistent generiert standardmäßig ein Gateway-Token (auch bei Loopback).
  • Die UI sendet connect.params.auth.token oder connect.params.auth.password.
  • Für nicht-Loopback-Control-UI-Deployments setze gateway.controlUi.allowedOrigins explizit (vollständige Origins). Ohne dies wird der Gateway-Start standardmäßig verweigert.
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true aktiviert den Host-Header-Origin-Fallback-Modus, ist aber eine gefährliche Sicherheitsabsenkung.
  • Mit Serve können Tailscale-Identity-Header die Control-UI-/WebSocket-Auth erfüllen, wenn gateway.auth.allowTailscale true ist (kein Token/Passwort nötig). HTTP-API-Endpunkte erfordern weiterhin Token/Passwort. Setze gateway.auth.allowTailscale: false, um explizite Zugangsdaten zu erzwingen. Siehe Tailscale und Sicherheit. Dieser tokenlose Flow setzt einen vertrauenswürdigen Gateway-Host voraus.
  • gateway.tailscale.mode: "funnel" erfordert gateway.auth.mode: "password" (geteiltes Passwort).

UI bauen

Das Gateway liefert statische Dateien aus dist/control-ui. Baue sie mit:

pnpm ui:build # installiert UI-Abhängigkeiten beim ersten Lauf automatisch
arrow_back
Zurück
CONTRIBUTING THREAT MODEL
Weiter
Control UI
arrow_forward