Tunnel SSH ou Direct (wss) pour les liaisons OpenClaw distantes ?

Direct (wss) convient lorsque la Gateway est joignable sur Internet public ou que votre sortie autorise déjà WebSocket sur TLS : le client utilise openclaw onboard --mode remote --remote-url wss://… pour le chemin le plus court. Un tunnel SSH aide lorsque le wss inter-régions est bloqué depuis le portable, ou lorsqu’il faut mapper une Gateway qui n’écoute que sur la boucle distante vers la machine locale avant de se connecter. Ce n’est pas exclusif : le tunnel est un transport ; le terminal exécute toujours la logique client wss.

Que signifie souvent le code de sortie 127 dans le dépannage OpenClaw ?

Dans les shells POSIX, 127 signifie souvent commande introuvable : openclaw ou node absent du PATH, launchd n’a pas chargé l’init du shell, ou le shebang d’un script pointe vers un interpréteur manquant. Comparez which openclaw, echo $PATH, et launchctl print pour le domaine ; une session SSH interactive et les jobs launchd doivent partager les mêmes chemins absolus ou un seul préfixe d’installation.

Comment cibler les problèmes signalés par Health ou doctor sur la Gateway ?

Exécutez openclaw gateway status et comparez avec la sortie officielle de openclaw doctor ; vérifiez l’adresse d’écoute (par ex. 127.0.0.1 uniquement), que le tunnel transfère le bon port, et que le jeton correspond à l’onboard. Entre régions, éliminez DNS/TLS et proxys d’entreprise qui coupent les connexions longues avant d’incriminer la couche applicative.

Pourquoi Web Chat ou un outil navigateur échoue alors que la CLI fonctionne ?

Politiques de contenu mixte, extensions bloquant WebSocket, reverse-proxy sans Upgrade, ou décalage entre l’origine du navigateur et le remote-url CLI. Mettez l’origine navigateur, le point de terminaison wss CLI et la cible du forward SSH local dans un seul tableau et alignez-les ligne par ligne.

Qu’est-ce qui compte pour la persistance du démon sur un Mac hébergement cloud ?

Suivez les docs officielles install/onboard et gateway install ; utilisez un LaunchAgent pour la résidence ; assurez-vous que l’utilisateur d’exécution peut écrire les journaux et l’espace de travail. Après reboot, relancez openclaw gateway status. Évitez plusieurs plists qui lient le même port d’écoute.

Comment US Est, US Ouest et APAC influencent le choix wss ?

Alignez la région de la Gateway avec les personnes qui pilotent le travail interactif quand c’est possible ; si les dépôts vivent en Amérique du Nord mais les opérateurs sont en APAC, un wss transpacifique direct peut montrer un RTT élevé — envisagez des découpages parallèles : gateway en Amérique du Nord, membres APAC sur VNC courte fenêtre ou tunnel pour l’acceptation. Les nœuds concrets suivent votre console.

M4 16 Go vs 24 Go change-t-il tunnel vs direct ?

Le type de liaison n’est pas lié à la mémoire ; l’écart apparaît sous outils concurrents, navigateurs satellites, index et canaux empilés. 16 Go suffit pour une validation mono-session ; 24 Go réduit la latence de queue swap et les à-coups Health quand une Gateway résidente tourne avec outils parallèles.

Comment 1 To vs 2 To et le parallèle réduisent une instabilité de lien apparente ?

Les gros disques limitent les pannes non réseau quand journaux et caches remplissent le volume racine ; le parallèle découple compilations lourdes et envoi d’artefacts de la Gateway, abaissant contention CPU/IO et mémoire résidente pour que les symptômes ne soient pas pris pour un wss instable. Fixez racines de cache et chemins d’artefacts dans le runbook.

Quel est l’exemple officiel de commande onboard distant ?

La doc CLI indique : openclaw onboard --mode remote --remote-url wss://gateway-host:18789. ws en clair et OPENCLAW_ALLOW_INSECURE_PRIVATE_WS sont des leviers d’urgence seulement selon le modèle de menace documenté. Voir https://docs.openclaw.ai/cli/onboard et Remote gateway setup.

Comment cela s’articule avec le runbook d’installation ?

Terminez l’install avec openclaw doctor et gateway status comme ligne de base, puis lisez cet article pour la topologie transport. Les étapes d’install sont dans l’article suivi sur site OpenClaw Mac hébergement cloud ; les deux partagent les mêmes ancres officielles.

2026 OpenClaw liaisons distantes | tunnel SSH vs Direct wss US Est Ouest APAC M4

Après l’installation d’OpenClaw, la prochaine barrière est souvent la liaison distante : comment votre portable, bastion CI ou autre Mac joint une Gateway sur un Mac M4 hébergement cloud Vuncloud (ou l’inverse : opérateurs en APAC avec une gateway en Amérique du Nord). Le mode Direct (wss) enchaîne TLS et WebSocket en un saut — chemin le plus court. Un tunnel SSH (typiquement -L, forward local) remplace « wss public inter-régions » par « SSH sur la machine, puis dialogue sur la boucle locale ». Cet article regroupe les deux modes dans une matrice de décision, relie US Est, US Ouest et APAC au suivi pas à pas, M4 16 Go vs 24 Go, 1 To/2 To et ressources parallèles, la persistance launchd, et une FAQ pour exit 127, Health et les pannes type Web Chat. Les faits restent ancrés sur Install, CLI onboard et Remote gateway setup ; le runbook d’install précédent est OpenClaw sur Mac hébergement cloud — installation, vérification SSH/VNC, régions, RAM M4, stockage et parallèle FAQ.

Schémas de liaison (tunnel SSH / Direct wss)

FAQ structurées (dont 127 / Health / Web Chat)

HowTo (tunnel / direct)

Intention de recherche : lever les contraintes de sortie avant de choisir le transport

On oppose souvent « SSH » et « wss ». Plus précisément : wss reste le protocole applicatif entre le client OpenClaw et la Gateway ; SSH ne fait que substituer le chemin public ou rapatrier le port boucle distant sur la boucle du portable sur certains réseaux. Alignez-vous sur des preuves avec le tableau ci-dessous, puis modifiez la configuration.

Ce que vous observez	Cause probable principale	Essayer d’abord
Échec handshake wss sur Wi‑Fi d’entreprise ; point d’accès mobile OK	Sortie bloque WebSocket/TLS ou un proxy substitue des certificats	Liste blanche conformité ; ou tunnel SSH approuvé contournant le segment direct bloqué
Connexion directe transocéanique mais coupures fréquentes	RTT élevé plus timeouts idle des boîtes intermédiaires ; ou saturation CPU/IO d’un seul hôte	Aligner région gateway et opérateurs ; découper rôles parallèles ; suivre la doc officielle des journaux gateway
Seul launchd échoue ; SSH interactif est bon	PATH différent de l’init shell (exit 127 fréquent)	Chemins absolus dans le plist ou un seul préfixe d’install ; afficher l’environnement launchctl
Web Chat navigateur cassé ; CLI OK	Contenu mixte, extensions, ou mauvaise origine navigateur	Aligner URL wss, certificats et paramètres Upgrade du reverse-proxy

Lien avec Vuncloud (qualitatif)

Vuncloud propose des Mac mini dédiés (famille M4) sur des empreintes US Est, US Ouest et APAC majeur. Le placement de la Gateway doit suivre à la fois vos opérateurs et le chemin chaud vers artefacts et API de modèles ; les SKU sont sur la page offres et tarifs. Notes de provisionnement et session distante : centre d’aide.

Tunnel SSH vs Direct (wss) : comparaison et limites

Ici, Direct signifie que le client suit l’onboard distant officiel vers un point de terminaison wss://. Tunnel SSH signifie maintenir ssh -L (ou équivalent), mapper le port distant sur localhost, puis se connecter. Les exemples de port suivent les motifs courants de la doc CLI — remplacez par vos réglages gateway réels.

Dimension	Direct (wss)	Tunnel SSH (-L)
Sauts	Peu : TLS directement vers la gateway ou le point de terminaison	Couche SSH supplémentaire ; peut contourner « portable n’atteint pas le wss inter-régions »
Charge mentale ops	Certificats, DNS, jeton et sortie doctor officielle font foi	Vous supervisez aussi la vivacité du tunnel et la dérive des ports locaux
Sécurité et conformité	Suivre TLS d’entreprise et rotation des clés	SSH exige MFA, bastions et audit aussi ; évitez d’empiler du clair des deux côtés
Cas typique	La sortie l’autorise ; adresse d’écoute et certificats prêts	Diagnostic temporaire, DNS inter-régions compliqué, ou politique n’autorisant que SSH

Direct (wss) : commande minimale et ancres doc

L’exemple de mode distant officiel figure dans onboard :

onboard distant (forme officielle)

openclaw onboard --mode remote --remote-url wss://gateway-host:18789

Le ws:// en clair et OPENCLAW_ALLOW_INSECURE_PRIVATE_WS n’appartiennent qu’au modèle de menace documenté ; les défauts de production doivent suivre les paramètres de sécurité amont.

Tunnel SSH : ramener la Gateway distante sur la boucle locale

Lorsque la Gateway n’écoute que sur 127.0.0.1 distant et que vous voulez la traiter comme un service local depuis un portable, le forward local est le motif habituel (remplacez les ports réels) :

Forward de port SSH local (exemple)

# Portable : mapper 127.0.0.1:18789 distant sur local 18789
ssh -N -L 18789:127.0.0.1:18789 user@hôte-mac-distant-vuncloud

Pointez ensuite remote-url sur wss://127.0.0.1:18789 ou la forme documentée. Si TLS se termine en dehors de SSH, suivez toujours les contrôles de certificat officiels — évitez les combinaisons « auto-signé plus désactivation globale de la vérification » difficiles à auditer.

US Est, US Ouest, APAC : un schéma gateway vs opérateur

La nuance régionale apparaît aussi dans les notes Mac hébergement cloud, région et choix de location et l’article CI/CD Mac hébergement cloud. Pour OpenClaw, une ligne compte : RTT et pertes wss amplifient les allers-retours d’outils. Le transpacifique reste utilisable si l’interaction haute fréquence reste proche des gens et les canaux batch ou sortants proches des dépôts et API.

M4 16 Go vs 24 Go ; 1 To/2 To ; découpages parallèles : quand le lien « semble instable »

Mémoire et disque ne changent pas le protocole wss, mais ils changent la lecture des à-coups de swap, d’un volume racine plein ou d’une contention multi-job comme panne réseau. Règle empirique : Gateway résidente plus outils navigateur et indexation parallèle favorise 24 Go pour la latence de queue ; 1 To/2 To absorbe journaux, caches et chaînes d’outils multi-versions. Les instances parallèles découpent les rôles, réduisent la contention sur un hôte et limitent les faux positifs Health dus à la famine CPU.

Topologie	Quels problèmes de « faux lien » cela aide	Coût
Direct wss mono-hôte	Liaison la plus simple ; surface de diagnostic minimale	Les pics de build peuvent contester l’I/O de la Gateway
Parallèle deux nœuds : A gateway / B jobs lourds	Files et Health plus lisses	Jetons, racines de cache et certificats doivent vivre dans le runbook
Tunnel SSH portable vers gateway Amérique du Nord	Lorsque la sortie n’autorise que SSH	Si le tunnel meurt, tout meurt — surveillez autossh, systemd ou les sessions Terminal

Persistance du démon (launchd) et l’écart où « seul SSH marche »

Les chemins officiels incluent openclaw onboard --install-daemon et les indications LaunchAgent dans la doc d’installation gateway. Checklist d’acceptation :

Juste après reboot, lancez openclaw gateway status — ne vous fiez pas au souvenir d’un démarrage manuel.
Utilisez les mêmes chemins absolus Node/OpenClaw dans launchd que dans un shell interactif, ou un installateur de préfixe unique officiel, pour éviter exit 127.
Confirmez répertoire de journaux et droits d’espace de travail selon la doc macOS logging officielle.

FAQ : exit 127, Health, Web Chat, et triage transversal tunnel/wss

Chaque point : symptôme → lecture rapide → action. Cohérent avec le JSON-LD FAQPage inline.

exit 127 sous launchd ou cron → PATH sans openclaw / Node → chemins absolus dans le plist ; comparez which openclaw avec une session SSH interactive.
exit 127 seulement dans un script enfant → mauvais shebang ou env → appelez explicitement /usr/bin/env node ou corrigez le chemin d’interprète.
doctor / Health dit Gateway HS alors que le tunnel est coupé → remote-url cible encore 127.0.0.1 → démarrez ssh -L avant les commandes de statut.
Web Chat ne se connecte pas → mauvais hôte / contenu mixte / extensions → alignez les trames WebSocket dans les outils développeur ; réessayez sans bloqueurs.
401/403 intermittents ou mauvais jeton en direct → sources de configuration multiples → convergez vers un fichier et une source d’environnement.
TLS d’entreprise MITM → OS ne fait pas confiance à la racine personnalisée → import selon politique ou schéma de terminaison documenté.

Leviers de risque

ws:// en clair, validation de certificat désactivée et variables d’environnement de contournement n’appartiennent qu’à un modèle de menace explicite et un ticket de changement ; les défauts doivent suivre les paramètres de sécurité officiels.

Synthèse et lectures complémentaires

Ordre suggéré : choisir région et placement gateway → choisir Direct ou enveloppe SSH → corriger démon et PATH → ligne de base doctor/status → ajuster 16/24 Go, disque et découpages parallèles. Régions et tarifs : https://vuncloud.com/fr/location-mac-mini.html ; documentation en libre-service : https://vuncloud.com/fr/mac-assistance.html.