远程控制 OpenClaw:从群晖 Docker 到本地浏览器的完整隧道指南
## 背景
OpenClaw 是一个强大的浏览器自动化框架,其核心服务通常运行在服务器端(如群晖 NAS),而控制端则是本地的 Chrome 浏览器插件 **OpenClaw Browser Relay**。插件默认只连接本地的 `127.0.0.1:18792`,无法直接与远程服务通信。因此,我们需要建立一条安全的隧道,将远程服务的端口映射到本地,让插件“以为”服务就在本地。
本文记录了在群晖 NAS(通过 Docker 运行 OpenClaw)与 Windows 本地电脑之间实现这一目标的全过程,包括踩坑与解决方案。所有敏感信息均已脱敏。
---
## 环境
- **远程服务器**:群晖 DS220+,IP `192.168.1.100`(示例)
- **OpenClaw 部署方式**:Docker Compose(容器名 `openclaw-openclaw-gateway-1`)
- **本地电脑**:Windows 11,PowerShell
- **目标**:通过 SSH 隧道,将群晖上的 OpenClaw 服务端口映射到本地的 `18792`,使浏览器插件能远程控制浏览器。
---
## 第一步:SSH 隧道基础尝试
最初的想法很简单:在本地执行 SSH 端口转发命令,将远程端口映射到本地。
```bash
ssh -L 18792:127.0.0.1:18792 [email protected] -N
```
### 遇到的错误
**错误 1**:`ssh: command not found`(Windows 未安装 OpenSSH 客户端)
**解决**:在 Windows 设置中安装“OpenSSH 客户端”可选功能,或通过 PowerShell 安装。
**错误 2**:`channel 2: open failed: administratively prohibited: open failed`
**原因**:群晖的 SSH 服务默认禁用了 TCP 端口转发。
**解决**:以 root 登录群晖,编辑 `/etc/ssh/sshd_config`,确保以下两行存在且未被注释:
```
AllowTcpForwarding yes
PermitOpen any
```
然后重启 SSH 服务:
```bash
synoservicectl --restart sshd
```
**错误 3**:`Permission denied, please try again.`(密码错误或认证失败)
**排查**:直接用 `ssh [email protected]` 测试登录,确认密码无误。最终通过 `ssh -v` 调试发现是密码输入问题,重试后成功。
---
## 第二步:隧道终于建立,但本地访问被拒绝
再次执行 SSH 隧道命令:
```bash
ssh -L 18792:127.0.0.1:18792 [email protected] -N
```
输入密码后,窗口停留在光标闪烁状态(正常)。但浏览器访问 `http://127.0.0.1:18792` 时,SSH 窗口出现错误:
```
channel 2: open failed: connect failed: Connection refused
```
这说明本地 `18792` 端口已经监听,但转发到远程的 `127.0.0.1:18792` 时,远程没有服务在监听。显然,OpenClaw 并没有监听这个端口。
---
## 第三步:查找 OpenClaw 的真实端口
通过 SSH 登录群晖,查看 Docker 容器端口映射:
```bash
docker ps | grep openclaw
```
输出:
```
dcd1b6c4a45c nginx:alpine ... 0.0.0.0:8443->443/tcp openclaw-nginx
5f05be4dd7a2 openclaw:local ... 0.0.0.0:18789-18790->18789-18790/tcp openclaw-openclaw-gateway-1
```
可以看到,OpenClaw 网关容器将宿主机的 `18789-18790` 端口映射到了容器内。为了确定具体是哪个端口用于插件通信,在群晖上直接 curl 测试:
```bash
curl http://127.0.0.1:18789 # 返回了 OpenClaw 控制界面的 HTML
curl http://127.0.0.1:18790 # Connection refused
```
因此,真实端口是 **18789**。
---
## 第四步:调整 SSH 隧道命令
终止原来的 SSH 隧道,重新执行:
```bash
ssh -L 18792:127.0.0.1:18789 [email protected] -N
```
再次访问 `http://127.0.0.1:18792`,这次 SSH 窗口没有报错,但浏览器显示:
```
unauthorized: gateway token missing
```
这说明隧道已通,但 OpenClaw 要求认证。
---
## 第五步:获取并设置网关令牌
OpenClaw 默认使用 **token 认证模式**,需要在浏览器中设置令牌。
### 在群晖上查看/生成令牌
进入 OpenClaw 的 docker-compose 目录(例如 `/volume1/docker/openclaw`),执行:
```bash
docker compose exec openclaw-gateway node dist/index.js config get gateway.auth.token
```
如果返回空,则生成新令牌:
```bash
docker compose exec openclaw-gateway node dist/index.js doctor --generate-gateway-token
```
得到类似 `ocw_xxxxxx...` 的令牌字符串,完整复制。
### 在浏览器中设置令牌
访问 `http://127.0.0.1:18792`,页面显示 `unauthorized`,同时有一个输入框要求粘贴 **Gateway Token**。将令牌粘贴并保存,刷新页面,控制界面正常加载。
此时,OpenClaw Browser Relay 插件图标也应变为橙色 **ON**,表示已成功连接。
---
## 第六步:处理设备批准(如果仍无法连接)
某些情况下,即使设置了令牌,仍需要批准设备。在浏览器访问后,OpenClaw 会生成一个 pending 设备请求。查看待处理设备:
```bash
docker compose exec openclaw-gateway node dist/index.js devices list
```
输出可能包含多行,状态为 `pending` 的即为待批准。例如:
```
Request ID Device ... Status
a7590340-2fc2-42bb-841b-83553e5032f1 ... pending
```
批准该请求:
```bash
docker compose exec openclaw-gateway node dist/index.js devices approve a7590340-2fc2-42bb-841b-83553e5032f1
```
刷新浏览器,一切正常。
---
## 总结
整个过程中,关键点如下:
1. **SSH 隧道**:必须确保远程 SSH 服务允许 TCP 转发(修改 `sshd_config`)。
2. **端口确认**:Docker 映射的端口可能不是默认的 `18792`,需要实际探测。
3. **认证**:OpenClaw 需要网关令牌,必须正确配置。
4. **设备批准**:如果启用设备配对,还需批准浏览器的连接请求。
最终,通过 `ssh -L 18792:127.0.0.1:18789 user@remote-ip -N` 隧道,我们成功将群晖上的 OpenClaw 服务映射到本地,实现了通过浏览器插件远程控制。
---
## 附录:常用命令速查
- 建立隧道(保持窗口打开):
`ssh -L 18792:127.0.0.1:18789 [email protected] -N`
- 查看 Docker 端口映射:
`docker ps | grep openclaw`
- 在容器内执行命令:
`docker compose exec openclaw-gateway node dist/index.js [command]`
- 查看网关令牌:
`docker compose exec openclaw-gateway node dist/index.js config get gateway.auth.token`
- 批准设备:
`docker compose exec openclaw-gateway node dist/index.js devices approve <request-id>`
- 查看待处理设备:
`docker compose exec openclaw-gateway node dist/index.js devices list`
希望这篇记录能帮助遇到类似问题的朋友们。如有疑问,欢迎交流!
