夜雨聆风阅读前记得关注+星标,及时获取更新推送
上一篇用 loopback + SSH Tunnel 把 Gateway 锁进本机。个人用没问题,但团队场景下每个人都要配 SSH Tunnel,比较麻烦。
这篇用 Tailscale 解决这个问题:一次配置,团队所有设备都能安全访问,不走公网,不需要开放任何端口。
Tailscale 是什么
Tailscale 基于 WireGuard 协议,在你的设备之间建立一个加密的私有网络(Tailnet)。每台设备加入后会获得一个 100.x.x.x 的固定 IP,设备之间直接点对点通信,走不了就通过 Tailscale 的中继服务器转发。
你的电脑 (100.64.0.1) ↕ WireGuard 加密隧道服务器 (100.64.0.2) ← OpenClaw 只监听这个地址 ↕同事的电脑 (100.64.0.3)公网上看不到任何开放端口,攻击者无从下手。
前置:注册 Tailscale 账号
去 https://tailscale.com 注册账号,支持 Google / GitHub / Microsoft 登录,30 秒搞定。
注册后会自动创建一个 Tailnet(你的私有网络),后续所有设备都加入这个 Tailnet。
安装 Tailscale
服务器端(Ubuntu/Debian):
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale upmacOS:
brew install tailscalesudo tailscale up执行 tailscale up 后会输出一个登录链接,浏览器打开完成授权,设备就加入你的 Tailnet 了。
查看分配到的 IP:
tailscale ip -4# 输出类似 100.64.0.2配置 OpenClaw
编辑 ~/.openclaw/openclaw.json:
{ "gateway": { "bind": "tailnet", "port": 18789 }}重启并验证:
docker restart openclawnetstat -an | grep 18789# 应该看到 100.x.x.x:18789,而不是 0.0.0.0现在只有加入同一个 Tailnet 的设备才能访问 Gateway,直接用 Tailscale IP 访问:
http://100.64.0.2:18789团队成员如何访问
1. 让成员安装 Tailscale 并登录同一个账号或组织 2. 加入后自动获得 100.x.x.x地址3. 直接访问服务器的 Tailscale IP + 端口即可
不需要每个人单独配 SSH Tunnel,不需要共享任何密钥,Tailscale 的身份认证统一管理。
Tailscale Serve(可选进阶)
如果想要 HTTPS 访问,可以用 Tailscale Serve,让 Gateway 继续绑定 loopback,由 Tailscale 提供 HTTPS 和路由:
openclaw gateway --bind loopback --tailscale-serve访问地址变成:
https://your-machine.tailnet-name.ts.net自动 HTTPS 证书,不需要 Nginx,不需要 Let's Encrypt。
Tailscale vs SSH Tunnel
个人用 SSH Tunnel 够了,团队用 Tailscale 更合适。
免费额度够用吗
Tailscale 免费版支持:
• 最多 3 个用户 • 最多 100 台设备 • 所有核心功能(WireGuard 加密、ACL、MagicDNS)
个人和小团队完全够用。企业版支持更多用户和高级 ACL 策略。
下一篇
端口、SSH、网络隔离都搞定了。下一篇进入应用层:
《OpenClaw 安全第五篇:OpenClaw-PwnKit 反向 Shell 攻击原理深度解析》
了解攻击者怎么用 $50 拿到你的反向 shell,才能知道怎么防。
成本:20分钟 | 防护等级:⭐⭐⭐⭐⭐ | 副作用:团队成员需要加入同一 Tailnet、
