Web (Gateway)

El Gateway sirve una pequeña interfaz de Control UI (Vite + Lit) desde el mismo puerto que el WebSocket del Gateway:

  • por defecto: http://<host>:18789/
  • prefijo opcional: configura gateway.controlUi.basePath (p. ej. /openclaw)

Las capacidades se encuentran en Control UI. Esta página se enfoca en los modos de bind, seguridad y superficies web.

Webhooks

Cuando hooks.enabled=true, el Gateway también expone un pequeño endpoint de webhook en el mismo servidor HTTP. Consulta Configuración del Gatewayhooks para auth + payloads.

Configuración (activado por defecto)

El Control UI está habilitado por defecto cuando los assets están presentes (dist/control-ui). Puedes controlarlo vía configuración:

{
  gateway: {
    controlUi: { enabled: true, basePath: "/openclaw" }, // basePath es opcional
  },
}

Acceso por Tailscale

Serve integrado (recomendado)

Mantén el Gateway en loopback y deja que Tailscale Serve lo proxee:

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" },
  },
}

Luego inicia el gateway:

openclaw gateway

Abre:

  • https://<magicdns>/ (o tu gateway.controlUi.basePath configurado)

Bind a tailnet + token

{
  gateway: {
    bind: "tailnet",
    controlUi: { enabled: true },
    auth: { mode: "token", token: "your-token" },
  },
}

Luego inicia el gateway (se requiere token para binds no-loopback):

openclaw gateway

Abre:

  • http://<tailscale-ip>:18789/ (o tu gateway.controlUi.basePath configurado)

Internet público (Funnel)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password" }, // o OPENCLAW_GATEWAY_PASSWORD
  },
}

Notas de seguridad

  • La auth del Gateway se requiere por defecto (token/contraseña o headers de identidad de Tailscale).
  • Los binds no-loopback siguen requiriendo un token/contraseña compartido (gateway.auth o env).
  • El asistente genera un token de gateway por defecto (incluso en loopback).
  • La UI envía connect.params.auth.token o connect.params.auth.password.
  • Para despliegues del Control UI no-loopback, configura gateway.controlUi.allowedOrigins explícitamente (orígenes completos). Sin esto, el inicio del gateway se rechaza por defecto.
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true habilita el modo de fallback de origen por header Host, pero es una degradación de seguridad peligrosa.
  • Con Serve, los headers de identidad de Tailscale pueden satisfacer la auth del Control UI/WebSocket cuando gateway.auth.allowTailscale es true (no se requiere token/contraseña). Los endpoints HTTP API siguen requiriendo token/contraseña. Configura gateway.auth.allowTailscale: false para requerir credenciales explícitas. Consulta Tailscale y Seguridad. Este flujo sin token asume que el host del gateway es de confianza.
  • gateway.tailscale.mode: "funnel" requiere gateway.auth.mode: "password" (contraseña compartida).

Compilar la UI

El Gateway sirve archivos estáticos desde dist/control-ui. Compílalos con:

pnpm ui:build # auto-instala dependencias de UI en la primera ejecución
arrow_back
Anterior
CONTRIBUTING THREAT MODEL
Siguiente
Control UI
arrow_forward