OpenClaw 게이트웨이는 노트북 절전에 약하고 임대 Mac에 두면 리스너·감사 경계가 안정됩니다. gateway·remote·Tailscale에 맞춰 gateway.bind 루프백·Serve 우선·필요 시 서브넷·예외만 Funnel·ACL·토큰 교체를 한 흐름으로 정리합니다. 설치는 Docker·하드닝, 접속은 SSH·VNC 체크리스트를 보세요.
① 임대 Mac에 게이트웨이를 올리는 이유
노트북 대신 전용 호스트에 두면 절전·우발 종료가 줄고 허브가 유지됩니다. 벤더 이미지 재배포 전에도 토큰·ACL을 다시 그리기 쉽습니다.
- 가동 — 임대 Mac mini급 상시 전원.
- 망 — 공용 LAN에 18789 원시 노출 없이 tailnet.
- 폭발 반경 — 스킬 출구 화이트리스트와 병행.
② 문서 정렬: 바인드와 최소 권한
리뷰용 대응 표입니다.
| 주제 | 공식 | 임대 Mac |
|---|---|---|
| gateway.bind | 기본 루프백·광역 바인드는 토큰·비번 필수. | 루프백+Serve·SSH -L·18789 원시 노출 지양. |
| Serve | 테일넷 HTTPS·선택 allowTailscale. | API는 토큰 고정·공유 호스트면 신원 헤더 끄기. |
| Funnel | password·HTTPS·MagicDNS·funnel 노드. | 단기만·비번은 env 등 안전 저장. |
| 원격 CLI | --url면 --token/--password 필수. | 교체 후 CI·클라이언트 동기화. |
③ 서브넷 라우트 vs Serve vs Funnel
서브넷은 테일넷 단말이 RFC1918 서비스에 닿게 하는 별축입니다. 최소 프리픽스만 승인하고 Mac에서 포워딩·회귀 경로를 먼저 검증하세요.
Serve는 원격 팀·폐쇄망 기본답—게이트웨이는 127.0.0.1에 두고 TLS·헤더는 Tailscale이 담당합니다.
Funnel은 같은 진입을 공인에 노출합니다. 테일넷에 못 들어오는 협력자만 짧게 열고 로그를 남기세요.
# 테일넷 전용 (게이트웨이는 루프백 유지)
openclaw gateway --tailscale serve
# 공인 URL이 필요할 때 (비밀번호·정책 검토 후)
openclaw gateway --tailscale funnel --auth password④ ACL 조이기와 자격 증명 교체
ACL 전에 그래프—관리 PC→Serve, 게이트웨이→필요 업스트림만·나머지 거부.
서브넷은 그룹 단위·OpenClaw 출구 통제와 병행.
토큰 교체: 새 OPENCLAW_GATEWAY_TOKEN→원격 env→재기동→openclaw gateway status·채널 프로브→클라·CI 갱신·구값 폐기·티켓.
⑤ HowTo: 최소 재현 순서
- 임대 Mac에 Tailscale·관리자와 MagicDNS 합의.
- 공식 경로로 OpenClaw 설치·바인드·토큰은 문서 그대로.
- SSH에서 루프백·openclaw gateway status 녹색까지 노출 없이.
- Serve 후 테일넷 2번째 기기에서 UI·WS.
- 필요 시 서브넷·raw IP 먼저·ACL 축소.
- Funnel은 비번 모드·짧은 창·문서화.
- 분기·사고 시 토큰 교체.
앵커: 127.0.0.1:18789·/healthz·/readyz·serve/funnel·OPENCLAW_GATEWAY_TOKEN·OPENCLAW_GATEWAY_PASSWORD.
⑥ 연결·인증 FAQ
WS 실패: 18789 전달 없음→Serve·SSH -L·gateway status.
unauthorized: --url에 --token 누락·교체 불일치.
Funnel 기동 거부: 비번 모드·태그·HTTPS·MagicDNS.
서브넷 드롭: 포워딩·방화벽·ACL 목적 포트.