Instalación con Ansible

La forma recomendada de desplegar OpenClaw en servidores de producción es mediante openclaw-ansible — un instalador automatizado con arquitectura security-first.

Inicio rápido

Instalación con un solo comando:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

📦 Guía completa: github.com/openclaw/openclaw-ansible

El repositorio openclaw-ansible es la fuente de verdad para el despliegue con Ansible. Esta página es solo un resumen.

Lo que obtienes

• 🔒 Seguridad firewall-first: UFW + aislamiento Docker (solo SSH + Tailscale accesibles)
• 🔐 VPN Tailscale: Acceso remoto seguro sin exponer servicios públicamente
• 🐳 Docker: Contenedores sandbox aislados, bindings solo a localhost
• 🛡️ Defensa en profundidad: Arquitectura de seguridad de 4 capas
• 🚀 Setup con un comando: Despliegue completo en minutos
• 🔧 Integración systemd: Auto-arranque en boot con hardening

Requisitos

• OS: Debian 11+ o Ubuntu 20.04+
• Acceso: Privilegios root o sudo
• Red: Conexión a internet para instalación de paquetes
• Ansible: 2.14+ (instalado automáticamente por el script de inicio rápido)

Qué se instala

El playbook de Ansible instala y configura:

1. Tailscale (VPN mesh para acceso remoto seguro)
2. Firewall UFW (solo puertos SSH + Tailscale)
3. Docker CE + Compose V2 (para sandboxes de agentes)
4. Node.js 24 + pnpm (dependencias de runtime; Node 22 LTS, actualmente 22.16+, sigue siendo compatible)
5. OpenClaw (basado en el host, no containerizado)
6. Servicio systemd (auto-arranque con hardening de seguridad)

Nota: El gateway se ejecuta directamente en el host (no en Docker), pero los sandboxes de agentes usan Docker para aislamiento. Consulta Sandboxing para más detalles.

Configuración post-instalación

Después de que la instalación se complete, cambia al usuario openclaw:

sudo -i -u openclaw

El script post-instalación te guiará a través de:

1. Asistente de configuración: Configurar ajustes de OpenClaw
2. Login de proveedor: Conectar WhatsApp/Telegram/Discord/Signal
3. Prueba del gateway: Verificar la instalación
4. Setup de Tailscale: Conectar a tu mesh VPN

Comandos rápidos

# Comprobar estado del servicio
sudo systemctl status openclaw

# Ver logs en vivo
sudo journalctl -u openclaw -f

# Reiniciar gateway
sudo systemctl restart openclaw

# Login de proveedor (ejecutar como usuario openclaw)
sudo -i -u openclaw
openclaw channels login

Arquitectura de seguridad

Defensa de 4 capas

1. Firewall (UFW): Solo SSH (22) + Tailscale (41641/udp) expuestos públicamente
2. VPN (Tailscale): Gateway accesible solo vía mesh VPN
3. Aislamiento Docker: Cadena iptables DOCKER-USER previene exposición de puertos externos
4. Hardening systemd: NoNewPrivileges, PrivateTmp, usuario sin privilegios

Verificación

Prueba la superficie de ataque externa:

nmap -p- YOUR_SERVER_IP

Debería mostrar solo el puerto 22 (SSH) abierto. Todos los demás servicios (gateway, Docker) están bloqueados.

Disponibilidad de Docker

Docker se instala para sandboxes de agentes (ejecución aislada de herramientas), no para ejecutar el gateway. El gateway se vincula solo a localhost y es accesible vía VPN Tailscale.

Consulta Multi-Agent Sandbox & Tools para la configuración del sandbox.

Instalación manual

Si prefieres control manual sobre la automatización:

# 1. Instalar prerrequisitos
sudo apt update && sudo apt install -y ansible git

# 2. Clonar repositorio
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Instalar colecciones de Ansible
ansible-galaxy collection install -r requirements.yml

# 4. Ejecutar playbook
./run-playbook.sh

# O ejecutar directamente (luego ejecutar /tmp/openclaw-setup.sh manualmente)
# ansible-playbook playbook.yml --ask-become-pass

Actualizar OpenClaw

El instalador Ansible configura OpenClaw para actualizaciones manuales. Consulta Actualización para el flujo estándar.

Para re-ejecutar el playbook de Ansible (por ejemplo, para cambios de configuración):

cd openclaw-ansible
./run-playbook.sh

Nota: Es idempotente y seguro de ejecutar múltiples veces.

Solución de problemas

El firewall bloquea mi conexión

Si quedas bloqueado:

• Asegúrate de que puedes acceder vía VPN Tailscale primero
• El acceso SSH (puerto 22) siempre está permitido
• El gateway es accesible solo vía Tailscale por diseño

El servicio no arranca

# Comprobar logs
sudo journalctl -u openclaw -n 100

# Verificar permisos
sudo ls -la /opt/openclaw

# Probar arranque manual
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Problemas con el sandbox Docker

# Verificar que Docker está ejecutándose
sudo systemctl status docker

# Comprobar imagen del sandbox
sudo docker images | grep openclaw-sandbox

# Compilar imagen del sandbox si falta
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

Fallo en el login del proveedor

Asegúrate de que estás ejecutando como el usuario openclaw:

sudo -i -u openclaw
openclaw channels login

Configuración avanzada

Para arquitectura de seguridad detallada y solución de problemas:

• Arquitectura de seguridad
• Detalles técnicos
• Guía de solución de problemas

Relacionado

• openclaw-ansible — guía completa de despliegue
• Docker — setup containerizado del gateway
• Sandboxing — configuración del sandbox de agentes
• Multi-Agent Sandbox & Tools — aislamiento por agente