使用Tailscale配置OpenClaw:VPS部署+MacBook安全访问
整体配置思路
通过Tailscale构建安全网络,实现MacBook对VPS上OpenClaw服务的私密访问。核心思路是:
- VPS安装Tailscale:将VPS接入Tailscale网络
- MacBook安装Tailscale:将MacBook接入同一网络
- OpenClaw配置Tailscale Serve模式:让OpenClaw仅通过Tailscale暴露
- MacBook获取Token并访问:通过浏览器获取token,完成安全登录
详细配置步骤
第一步:VPS安装Tailscale
# 安装Tailscale
curl -fsSL https://tailscale.com/install.sh | sudo sh
# 启动并连接Tailscale网络
sudo tailscale up
# 查看VPS的Tailscale网络标识
tailscale ip -4 # 查看Tailscale IP(如100.123.45.67)
tailscale status # 查看所有连接设备执行sudo tailscale up后,终端会显示一个链接。在浏览器中打开该链接,登录你的Tailscale账号,完成VPS的授权。
第二步:MacBook安装Tailscale
在MacBook上安装Tailscale客户端:
# 通过Homebrew安装(如已安装Homebrew)
brew install tailscale
sudo tailscale up
# 或者从官网下载GUI版本
# 访问 https://tailscale.com/download 下载macOS版安装登录相同账号:使用与VPS相同的Tailscale账号登录
第三步:在MacBook上验证设备连接
打开Tailscale仪表盘查看设备:
方式1:通过MacBook菜单栏(GUI方式)
- 点击MacBook菜单栏右上角的Tailscale图标(小狐狸图标)
- 选择 Admin Console 或 管理控制台
- 浏览器会自动打开Tailscale仪表盘,显示所有已连接的设备
方式2:通过浏览器直接访问
- 打开浏览器,访问 https://login.tailscale.com/admin/machines
- 登录你的Tailscale账号
- 在”Machines”列表中,你应该能看到两个设备:
- VPS设备:名称通常为你的VPS主机名(如
vps-ubuntu、server等) - MacBook设备:名称通常为你的MacBook型号(如
MacBook-Pro、MacBook-Air等)
- VPS设备:名称通常为你的VPS主机名(如
方式3:通过命令行查看
# 在MacBook终端执行
tailscale status
# 应该显示类似:
# 100.123.45.67 vps-username 你的VPS名称 linux active
# 100.89.12.34 macbook-user 你的MacBook名称 macOS active两个设备都显示为active状态,说明它们已成功加入同一Tailscale网络。
第四步:配置OpenClaw的Tailscale Serve模式
创建OpenClaw配置文件:
# 在VPS上执行
mkdir -p ~/.openclaw
nano ~/.openclaw/openclaw.json写入以下配置:
{
"gateway": {
"port": 18789,
"bind": "loopback",
"tailscale": {
"mode": "serve",
"resetOnExit": false
},
"auth": {
"mode": "token",
"allowTailscale": true
},
"controlUi": {
"enabled": true,
"basePath": "/"
}
}
}参数说明:
bind: "loopback":强制OpenClaw只监听127.0.0.1,不暴露任何公网端口tailscale.mode: "serve":启用Tailscale Serve功能,通过Tailscale暴露服务auth.mode: "token":使用token认证
重启OpenClaw网关:
# 在VPS上执行
openclaw gateway restart验证Tailscale Serve配置:
tailscale serve status
# 应显示:https://你的VPS名称.你的tailnet名称.ts.net/ → http://127.0.0.1:18789第五步:从MacBook获取Token并访问OpenClaw
1. 在VPS上获取Token
# 在VPS终端执行
openclaw config get gateway.auth.token
# 输出示例:8f7a3b2c1d5e9f4a8b7c6d5e4f3a2b1c2. 在MacBook浏览器中访问OpenClaw
打开浏览器,访问地址:
https://你的VPS名称.你的tailnet名称.ts.net/如何获取这个地址?
- 从Tailscale仪表盘中查看VPS设备的MagicDNS名称
- 或在VPS上执行
tailscale status查看 - 格式通常为:
vps-name.tailxxxx.ts.net
3. 输入Token完成认证
在浏览器显示的认证页面中,输入从VPS获取的token,点击”验证”即可登录OpenClaw控制面板。
4. 保存Token(可选)
登录成功后可以选择”记住此token”,方便后续访问。
验证配置
在MacBook上验证:
# 测试网络连通性
ping 你的VPS名称.你的tailnet.ts.net
# 通过curl测试API访问
curl -k -H "Authorization: Bearer 你的token" \
https://你的VPS名称.你的tailnet.ts.net/api/v1/status在浏览器中验证:
- 访问
https://你的VPS名称.你的tailnet.ts.net/ - 应该看到OpenClaw控制面板界面
- 可以查看系统状态、运行日志等
常用命令速查
| 操作 | 命令/操作位置 |
|---|---|
| 查看Tailscale仪表盘 | https://login.tailscale.com/admin/machines |
| 查看本地设备状态 | tailscale status |
| 查看Serve状态 | tailscale serve status |
| 获取OpenClaw Token | openclaw config get gateway.auth.token |
| 重启OpenClaw网关 | openclaw gateway restart |
| 停止OpenClaw网关 | openclaw gateway stop |
| 启动OpenClaw网关 | openclaw gateway start |
| 查看OpenClaw日志 | openclaw logs |
安全总结
通过以上配置,你实现了:
- ✅ 零公网暴露:OpenClaw只监听127.0.0.1,VPS没有任何端口暴露在公网
- ✅ 端到端加密:所有通信通过Tailscale的WireGuard隧道加密传输
- ✅ 自动HTTPS:Tailscale Serve提供自动的HTTPS证书
- ✅ 双重认证:Tailscale网络层认证 + OpenClaw token认证
- ✅ 可视化设备管理:通过Tailscale仪表盘可随时查看和管理连接设备
- ✅ 便捷访问:在MacBook上通过浏览器即可安全访问VPS上的OpenClaw