在 OpenClaw 中实现公网访问，核心在于正确配置网关（Gateway）的网络绑定模式和安全策略，使服务能够被互联网上的客户端访问[ref_1]。整个过程涉及配置修改、服务重启，并强烈建议引入额外的安全加固措施，如反向代理。

以下是实现公网访问的详细步骤、配置示例和安全考量。

一、核心步骤：修改网关绑定配置

OpenClaw 的网关默认仅监听本地回环地址 (127.0.0.1)。要实现公网访问，必须将其绑定到服务器的公网 IP 地址上。这通过修改 gateway.bind 和 gateway.host 配置实现。

1. 定位配置文件 主配置文件通常位于 ~/.openclaw/openclaw.json。
2. 修改网关配置 找到配置文件中的 gateway 部分，将其修改为以下结构。您需要将 203.0.113.10 替换为您服务器的实际公网 IP 地址。

   { "gateway": { "bind": "custom", // 关键：使用自定义绑定模式 "host": "203.0.113.10", // 关键：替换为您的公网IP "port": 8080, // 服务端口，可按需修改 "auth": { "type": "token", // 必须启用认证 "token": "your-very-strong-secret-token-here" // 设置一个强密码 } } } 

   • "bind": "custom"：告知 OpenClaw 使用用户自定义的主机地址。
   • "host": “203.0.113.10”：指定网关监听的公网 IP。这是实现公网访问的关键[ref_1]。
   • "auth"：至关重要。将服务暴露到公网后，必须启用认证以防止未授权访问。token 是连接时必须提供的凭证[ref_1]。
3. 重启网关服务 修改配置后，必须重启网关服务以使新配置生效。

   openclaw gateway restart 

完成以上步骤后，理论上，公网用户已经可以通过 http:// <您的公网ip> :8080 访问您的 OpenClaw 网关。然而，直接暴露服务存在安全风险，因此强烈建议继续以下加固步骤。

二、安全加固：使用反向代理（以 Nginx 为例）

直接让 OpenClaw 监听公网 IP 和端口，并处理原始的 HTTP 流量，在安全性和功能上都有局限。**实践是在 OpenClaw 前部署一个反向代理（如 Nginx），由它来处理 SSL 终止、域名绑定、负载均衡和基础安全防护。

1. 安装并配置 Nginx

以下是一个基本的 Nginx 配置示例，它将来自域名 openclaw.yourdomain.com 的 HTTPS 流量代理到本地运行的 OpenClaw 网关。

# /etc/nginx/sites-available/openclaw server # 安全相关头部 add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; } server { # 强制HTTP跳转到HTTPS listen 80; server_name openclaw.yourdomain.com; return 301 https://$server_name$request_uri; } 

配置说明：

• proxy_pass：将请求转发到本地 127.0.0.1:8080。此时 OpenClaw 网关的配置可以改回 “bind”: “loopback” 或 “lan”，仅对本地 Nginx 开放，进一步减少暴露面。
• Upgrade 和 Connection 头：这是必须的，因为 OpenClaw 的网关通信依赖 WebSocket 协议[ref_1]。
• Authorization 头：如果 OpenClaw 网关启用了 Token 认证，可以通过 Nginx 统一添加，简化客户端配置。
• SSL 证书：可以使用 Certbot 工具免费申请 Let‘s Encrypt 证书。

2. 启用 Nginx 配置并测试

# 创建软链接启用站点 sudo ln -s /etc/nginx/sites-available/openclaw /etc/nginx/sites-enabled/ # 测试 Nginx 配置 sudo nginx -t # 重新加载 Nginx sudo systemctl reload nginx 

三、防火墙与云平台安全组配置

确保服务器的防火墙和云服务商的安全组规则允许外部流量到达您的服务端口。

1. 系统防火墙 (如 UFW)

   # 允许 HTTPS (443) 端口 sudo ufw allow 443/tcp comment ‘OpenClaw HTTPS‘ # 如果直接暴露OpenClaw端口（不推荐），则允许对应端口，如8080 # sudo ufw allow 8080/tcp comment ‘OpenClaw Direct‘ sudo ufw reload 

2. 云平台安全组 (以常见云商为例) 登录您的云服务器控制台，找到安全组或防火墙设置，添加入站规则：
   • 协议端口：TCP:443 (如果使用 Nginx HTTPS) 或 TCP:8080 (如果直接暴露)。
   • 源：0.0.0.0/0 (允许所有 IP) 或更精确的 IP 段 (如公司出口 IP)。

四、最终验证与访问

完成所有配置后，按以下步骤验证：

1. 检查服务状态：确保 OpenClaw 网关和 Nginx 服务都在运行。

   systemctl status nginx openclaw status 

2. 本地测试：在服务器上使用 curl 测试本地网关是否正常响应。

   curl -H “Authorization: Bearer your-token” http://127.0.0.1:8080/api/health 

3. 公网访问：在互联网上的另一台设备浏览器中，访问 https://openclaw.yourdomain.com (或 http:// <公网ip> :8080 )。您应该能看到 OpenClaw 的 Web UI 或需要设备配对的界面[ref_1]。
4. 设备配对：首次通过新地址访问时，可能会看到 pairing required 提示[ref_1]。此时，您需要在服务器终端执行命令来批准新设备：

   # 列出待批准的设备请求 openclaw devices list # 批准特定的请求 openclaw devices approve 
       
         
          
         

   批准后，浏览器即可正常访问 Web UI 控制台[ref_1]。

五、备选方案：内网穿透工具

如果您没有固定的公网 IP，或者网络环境受限（例如在家庭宽带后），可以使用内网穿透工具（如 [ref_2] 中提到的 Cpolar、[ref_6] 中提到的 ngrok 等）来实现公网访问。这类工具会在公网提供一个固定的域名或地址，将流量隧道转发到您内网的 OpenClaw 服务。

通用流程如下：

1. 在内网服务器上安装穿透工具客户端。
2. 配置客户端，将本地 127.0.0.1:8080 端口映射到穿透工具提供的公网地址。
3. 通过工具提供的公网地址进行访问。

这种方法无需配置服务器公网 IP 和复杂的 Nginx，但通常对免费用户有带宽和连接数的限制，且稳定性依赖于第三方服务。对于生产环境，仍推荐使用自有服务器和域名进行部署。