OpenClaw ゲートウェイをレンタル Macに置くと、ノートのスリープや回線変動から切り離し、常時稼働と Tailscale 設計がしやすくなります。gateway/remote/tailscale に沿い、gateway.bind は loopback、露出は Serve 優先、子網と Funnel は必要最小限です。導入は Docker 本番稿、接続は SSH/VNC と同じホストで揃えてください。
レンタル Mac でゲートウェイを置く理由
ミニ級の常時電源ホストに載せ替え、プレゼン中のプロセス停止リスクを下げます。制御面は tailnet 経由に寄せ、LAN 直露出を避けます。スキル沙箱・外向き許可リストと併せ、侵害時の横展開を抑えます。
公式ドキュメント対照:束縛と最小権限
セキュリティレビュー用に、docs.openclaw.ai のゲートウェイ束縛・認証の期待値と、レンタル Mac 上の実務を対応づけます。
| 項目 | 公式 | 実務 |
|---|---|---|
| gateway.bind | 既定 loopback。広束縛は認証必須。 | Serve か SSH -L で前段。生 18789 を LAN に出さない。 |
| Serve | tailnet 内 TLS。UI で allowTailscale 可。 | API はトークン必須。同居負荷時は身元ショートカット無効。 |
| Funnel | password 等・HTTPS・MagicDNS 前提。 | 短周期のみ。秘密は env 等へ。 |
| CLI | --url と --token/--password をセット。 | 輪換後は自動化も同期。トンネル単体では足りない。 |
子網ルートと Serve と Funnel
子網は RFC1918 到達用。最小幅承認と転送・戻り経路の実測後に本番へ。Serveは tailnet 内 TLS でゲートウェイは 127.0.0.1。Funnelは公衆公開で限定用途。
openclaw gateway --tailscale serve
openclaw gateway --tailscale funnel --auth passwordACL の収斂と資格情報輪換
入口・CI・上流 API の接続図を先に描き既定拒否。子網はグループ単位。輪換は新 OPENCLAW_GATEWAY_TOKEN→環境更新→再起動→gateway status/channels status --probe→クライアント同期→旧失効。レンタル機は記録を残す。
HowTo:最小再現手順
- Tailscale 参加(ホスト名・MagicDNS を管理者と整合)。
- 公式どおり OpenClaw 導入(CLI/Docker)。
- loopback+トークンで openclaw gateway status を SSH 上で成功。
- Serve で 2 台目端末から UI/WS を検証。
- 必要なら子網→ACL 限定→任意で Funnel(password・短窓)。
- 四半期または事故後にトークン輪換。
引用値:127.0.0.1:18789、/healthz・/readyz、OPENCLAW_GATEWAY_TOKEN/OPENCLAW_GATEWAY_PASSWORD。
連通性 FAQ
ping 可・WS 不可:Tailscale IP への到達と 18789 の中継は別です。Serve か ssh -L 18789:127.0.0.1:18789 を追加しサーバで openclaw gateway status を確認します。
unauthorized:--url には必ず --token または --password。輪換直後は CI と端末の秘密世代を疑います。
Funnel で起動失敗:公式どおり password モード・ノードタグ・HTTPS・MagicDNS を満たすか確認します。
子網で落ちる:sysctl の IP 転送、macOS/上流 FW、ACL の宛先ポートを順に切り分けます。