🚀 为什么需要局域网访问OpenClaw?

OpenClaw是一个强大的自托管AI助手网关,默认情况下只能在安装它的本机上访问。但在实际使用中,我们经常需要:

  • 多设备协作:在电脑上配置,用手机或平板访问
  • 团队共享:办公室内多台电脑需要访问同一OpenClaw实例
  • 远程管理:在书房配置,客厅电视上查看结果

本文将手把手教你如何配置OpenClaw的局域网访问,并根据不同使用场景提供最优安全方案。

📦 基础配置:5分钟开启局域网访问

先解决局域网访问的问题,后续一步步提升安全系数。

第一步:确认OpenClaw安装

首先确保OpenClaw已经正确安装并运行:

1
2
3
4
5
openclaw --version
# 预期输出:2026.3.2 或更高版本

openclaw gateway status
# 检查服务状态

第二步:手动配置(推荐方法)

我们推荐直接编辑配置文件,这样更直观且容易理解:

1
nano ~/.openclaw/openclaw.json

基础配置示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
{
  "gateway": {
    "bind": "lan",  // 关键:从loopback改为lan
    "controlUi": {
      "dangerouslyAllowHostHeaderOriginFallback": true,
      "allowInsecureAuth": true,
      "dangerouslyDisableDeviceAuth": true
    },
    "auth": {
      "mode": "token",
      "token": "你的安全令牌"
    }
  }
}

关键参数说明

  • bind: "lan" - 监听所有网络接口(0.0.0.0),让其他设备可以访问
  • dangerouslyAllowHostHeaderOriginFallback: true - 允许多设备访问
  • dangerouslyDisableDeviceAuth: true - 禁用设备认证(简化访问)

第三步:向导配置(备用方案)

如果你更喜欢图形化界面,可以使用内置向导:

1
openclaw onboard

选择Manual而非QuickStart模式,过程中选择Gateway bind的时候:

  1. 选择Lan(0.0.0.0)(启用局域网访问)
  2. openclaw会自动配置bind: lan
  3. 执行第四步重启网关

第四步:重启并验证

1
2
3
openclaw gateway restart
//等待10~20秒服务重启
openclaw gateway status

访问地址:http://你的IP地址:18789

🔐 安全配置进阶:三种场景方案

场景一:家庭网络(最简方案)

此方案是在上文简单粗暴关闭限制,设置局域网访问之后,在token认证做了简单的频次限制,一定程度上防止暴力破解。

适用场景

  • 受信任的家庭网络
  • 只有家人设备访问
  • 追求配置简单

配置方案

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
{
  "gateway": {
    "bind": "lan",
    "controlUi": {
      "dangerouslyAllowHostHeaderOriginFallback": true,
      "allowInsecureAuth": true,
      "dangerouslyDisableDeviceAuth": true
    },
    "auth": {
      "mode": "token",
      "token": "强密码令牌",
      "rateLimit": {
        "maxAttempts": 10,
        "windowMs": 60000,
        "lockoutMs": 300000
      }
    }
  }
}

场景二:办公室网络(平衡方案)

此方案在方案一的基础上,增加了访问ip限制、设备访问权限审批流程。

适用场景

  • 中小型办公室
  • 固定设备访问
  • 需要基本安全防护

配置方案

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
{
  "gateway": {
    "bind": "lan",
    "controlUi": {
      "allowedOrigins": [
        "http://192.168.1.101:18789",
        "http://192.168.1.102:18789",
        "http://192.168.1.103:18789"
      ],
      "dangerouslyAllowHostHeaderOriginFallback": false,
      "allowInsecureAuth": true,
      "dangerouslyDisableDeviceAuth": false
    },
    "auth": {
      "mode": "token",
      "token": "强密码令牌",
      "rateLimit": { ... }
    }
  }
}

allowedOrigins参数说明

  • 作用:限制只有指定IP的设备可以访问OpenClaw控制界面
  • 格式http://设备IP:18789(注意是客户端设备的IP,不是服务器IP)
  • 示例:如果你的手机IP是192.168.1.101,就在这里添加http://192.168.1.101:18789
  • 注意:每次新设备加入都需要在配置中添加对应的IP地址

设备配对流程(新设备访问时):

  1. 新设备访问显示”pairing required”
  2. 服务器执行:openclaw devices list
  3. 批准设备:openclaw devices approve <requestId>
  4. 设备被记住,后续无需批准

场景三:企业/高安全需求(专业方案)

此方案超出普通用户日常使用需求,仅做提及。

适用场景

  • 对安全性要求高
  • 需要HTTPS加密
  • 支持远程安全访问

推荐方案:使用Tailscale等VPN解决方案实现安全访问。这类方案需要更专业的网络知识,建议参考OpenClaw官方文档进行配置。企业级安全配置涉及HTTPS加密、设备认证等高级功能等。

📊 方案对比速查表

特性 家庭方案 办公室方案 企业方案
配置复杂度 ⭐☆☆☆☆(极简) ⭐⭐☆☆☆(中等) ⭐⭐⭐⭐☆(复杂)
安全性 ⭐⭐☆☆☆(基础) ⭐⭐⭐☆☆(良好) ⭐⭐⭐⭐⭐(优秀)
多设备支持 ✅ 任意设备 ✅ 白名单设备 ✅ Tailscale设备
设备认证 ❌ 不需要 ✅ 需要配对 ✅ Tailscale身份
传输加密 ❌ HTTP ❌ HTTP ✅ HTTPS
适合场景 家庭网络 办公室固定设备 企业/高安全需求

🚨 安全警告详解与应对

OpenClaw安全审计会检查以下配置,了解其含义很重要:

1. dangerouslyAllowHostHeaderOriginFallback

含义:允许使用Host头作为来源回退
风险:降低DNS重绑定攻击防护
应对:家庭网络可接受,企业环境应禁用

2. dangerouslyDisableDeviceAuth

含义:禁用设备身份验证
风险:新设备无需批准即可访问
应对:家庭网络可禁用,办公室应启用

3. allowInsecureAuth

含义:允许HTTP不安全认证
风险:凭据可能被拦截
应对:所有环境都应尽量使用HTTPS

🔧 常用命令速查

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# 服务管理
openclaw gateway status      # 查看状态
openclaw gateway restart     # 重启服务
openclaw gateway stop        # 停止服务

# 设备管理
openclaw devices list        # 查看已配对设备
openclaw devices approve <id> # 批准新设备
openclaw devices revoke <id>  # 撤销设备权限

# 安全检查
openclaw security audit      # 安全审计
openclaw security audit --deep # 深度审计
openclaw security audit --fix # 尝试自动修复

# 配置管理
cp ~/.openclaw/openclaw.json ~/.openclaw/openclaw.json.backup # 备份
nano ~/.openclaw/openclaw.json # 编辑配置

❓ 常见问题解答

Q1: 访问时提示”control ui requires device identity”怎么办?

A: 这是因为设备认证需要HTTPS或localhost安全上下文。解决方案:

  1. 临时方案:设置allowInsecureAuth: true
  2. 永久方案:配置Tailscale Serve获得HTTPS

Q2: 如何查看待批准的设备请求?

A: 

1
2
# 查看网关日志中的请求信息
journalctl --user -u openclaw-gateway.service -n 50 --no-pager | grep -i "pair\|request"

Q3: 我的IP地址是动态的怎么办?

A:

  1. 在路由器中设置DHCP保留,为设备分配固定IP
  2. 使用dangerouslyAllowHostHeaderOriginFallback: true允许任意IP访问(降低安全性)
  3. 考虑Tailscale方案,不依赖IP地址

Q4: 如何回滚配置?

A: 

1
2
3
4
# 恢复备份
cp ~/.openclaw/openclaw.json.backup-* ~/.openclaw/openclaw.json
# 重启服务
openclaw gateway restart

🎯 总结与选择建议

给新手的建议

如果你是第一次配置OpenClaw局域网访问:

  1. 从家庭方案开始,先确保功能正常
  2. 理解安全警告的含义,知道自己在接受什么风险
  3. 根据实际需求升级配置,不要过度设计

给团队管理员的建议

如果需要为团队配置:

  1. 评估安全需求,选择办公室或企业方案
  2. 建立设备管理流程,规范设备配对
  3. 定期进行安全审计,确保配置符合政策

📚 参考资料

  1. OpenClaw官方文档
  2. OpenClaw GitHub仓库
  3. Tailscale官方文档
  4. 局域网安全最佳实践

温馨提示:本文配置方案基于OpenClaw 2026.3.2版本,不同版本可能有细微差异。配置前请务必备份原有配置,并在非生产环境测试。

如果你有更多问题或经验分享,欢迎在评论区交流! 🚀