OpenClaw 更新后 “失联”救急指南:局域网访问的两种“破局”方案
最近 OpenClaw 更新了安全协议,强制要求安全性更高的访问方式,直接禁用了传统的 HTTP 局域网直连。这对于有本地浏览器的设备影响不大,但对于像 群晖 (Synology)、飞牛 (FnOS) 这种运行在服务器端、主要通过 Web 控制台交互的 NAS 系统来说,简直是“降维打击”:由于无法从 NAS 内部直接打开浏览器访问 http://localhost,外部局域网设备又被安全协议拦截,导致控制端处于失联状态。
前言
最近 OpenClaw 更新了安全协议,强制要求安全性更高的访问方式,直接禁用了传统的 HTTP 局域网直连。这对于有本地浏览器的设备影响不大,但对于像 群晖 (Synology)、飞牛 (FnOS) 这种运行在服务器端、主要通过 Web 控制台交互的 NAS 系统来说,简直是“降维打击”:由于无法从 NAS 内部直接打开浏览器访问 http://localhost,外部局域网设备又被安全协议拦截,导致控制端处于失联状态。
为了解决这个问题,我总结了两种实用的方案:一种是通过 SSH 隧道 快速“欺骗”协议;另一种则是通过 自建 DNS + Caddy 打造一个正规的 HTTPS 访问环境。
参考视频:OpenClaw 更新后 “失联”救急指南:局域网访问的两种“破局”方案
SSH工具: windterm
方案一:SSH 隧道转发(快速、临时、轻量)
原理: 利用 SSH 的本地端口转发功能(Local Port Forwarding),将 NAS 上的 OpenClaw 端口映射到你当前操作电脑的本地回环地址 127.0.0.1。因为 OpenClaw 通常允许本地回环访问,这种方式可以完美绕过局域网限制。
操作步骤
-
打开终端: 在你用来访问 NAS 的电脑(PC 或 Mac)上打开终端。
-
执行命令:
ssh -L 18789:127.0.0.1:18789 user@your-nas-ip注:假设 OpenClaw 端口为
18789,user为 NAS 用户名。 -
访问: 保持终端窗口不要关闭,在浏览器输入:
http://127.0.0.1:8080
优缺点
- 优点: 无需配置证书,无需修改 NAS 系统文件,即开即用。
- 缺点: 每次访问都需要先挂载 SSH 进程,适合临时调试或低频配置使用。
方案二:自建 DNS 转发 + Caddy 反向代理(长期、稳定、优雅)
原理: 通过 Caddy 自动申请或自签名证书开启 HTTPS,并结合 DNS 转发将一个自定义域名指向 NAS 内部。这样 OpenClaw 会识别为一个安全的 HTTPS 加密连接,从而允许访问。
实现架构
操作步骤
1. 配置 Caddy 反向代理
在 Docker 或 NAS 本地安装 Caddy,编写 Caddyfile:
openclaw.local {
tls internal # 使用 Caddy 自签名证书
reverse_proxy openclaw:18789
}
2. 自建 DNS 转发
为了让局域网内的设备能解析 openclaw.local,你可以:
- AdGuard Home / Pi-hole: 在“DNS 重写”中添加记录,将
openclaw.local指向 NAS 的局域网 IP。 - 路由器设置: 如果路由器支持,在静态 DNS 中添加映射。
3. 信任根证书(可选但建议)
由于是自签名证书,浏览器会报安全警告。你可以从 Caddy 中导出根证书并安装到你的常用电脑中,实现“绿色小锁”访问。
优缺点
- 优点: 一次配置,全家设备通过域名直接访问;符合现代安全协议标准。
- 缺点: 需要一定的网络基础(如部署 Caddy 和 DNS 服务)。
总结
如果你只是偶尔进后台改个参数,方案一(SSH 隧道) 是效率最高的方式;如果你希望像以前一样随时随地在浏览器输入地址就能管理 OpenClaw,那么 方案二(DNS + Caddy) 才是终极解决方案。
新版协议虽然增加了麻烦,但也倒逼我们提升了家庭实验室(HomeLab)的安全性。希望这两套思路能帮到正在折腾 NAS 的你!