Для удалённого OpenClaw выбрать SSH-туннель или Direct (wss)?

Direct (wss) уместен, когда шлюз доступен из публичного интернета или исходящий трафик уже разрешает WebSocket поверх TLS: клиент использует openclaw onboard --mode remote --remote-url wss://… — кратчайший путь. SSH-туннель помогает, если трансокеанский или кросс-региональный wss с ноутбука блокируется, либо когда нужно пробросить Gateway на loopback удалённой машины на локальный loopback перед подключением. Варианты не взаимоисключают: туннель — транспортная обёртка; в терминале по-прежнему логика wss-клиента.

Что обычно означает код выхода 127 при разборе OpenClaw?

В POSIX-оболочках 127 чаще всего «команда не найдена»: openclaw или node отсутствует в PATH, launchd не подхватил init оболочки, либо shebang скрипта указывает на отсутствующий интерпретатор. Сравните which openclaw, echo $PATH и вывод launchctl print для домена; интерактивный SSH и задания launchd должны согласовать абсолютные пути или один префикс установки.

Как сузить проблему Health или doctor по Gateway?

Запустите openclaw gateway status и сверьте с официальным выводом openclaw doctor; проверьте адрес привязки listen (например только 127.0.0.1), что туннель пробрасывает ожидаемый порт и что токен совпадает с onboard. Между регионами сначала исключите DNS/TLS и корпоративные прокси, обрезающие долгоживущие соединения, прежде чем списывать на прикладной слой.

Почему Web Chat или браузерный инструмент падает, а CLI работает?

Политики mixed content, расширения, блокирующие WebSocket, обратный прокси без Upgrade или несовпадение origin браузера с remote-url в CLI. Сведите в одну таблицу origin браузера, конечную точку wss в CLI и локальную цель SSH forward и сверьте построчно.

Что важно для постоянства демона на облачном Mac-хосте?

Следуйте официальным разделам install/onboard и gateway install; для резидентности используйте LaunchAgent; убедитесь, что пользователь run может писать логи и рабочую область. После перезагрузки снова выполните openclaw gateway status. Избегайте нескольких plist, занимающих один listen-порт.

Как Восток США, Запад США и APAC влияют на ощущение wss при выборе?

По возможности совместите регион Gateway с людьми, ведущими интерактив; если репозитории и артефакты в Северной Америке, а операторы в APAC, прямой транстихоокеанский wss может давать высокий RTT — рассмотрите параллельное разнесение: gateway в Северной Америке, участники в APAC на коротких окнах VNC или через туннель для приёмки. Конкретные узлы — по вашей консоли.

Меняет ли M4 16 ГБ против 24 ГБ выбор туннеля или direct?

Тип канала не упирается в память; разница проявляется при параллельных инструментах, браузерных сайдкарах, индексах и наслоении каналов. 16 ГБ хватает для одной сессии валидации; 24 ГБ снижает задержки хвоста swap и дрожание Health при резидентном Gateway и параллельных инструментах.

Как диски 1 ТБ и 2 ТБ и параллельные ресурсы уменьшают ложную «нестабильность канала»?

Больший диск снижает долю несетевых сбоев из-за переполнения корня логами и кэшами; параллельное разнесение отделяет тяжёлую сборку и выгрузку артефактов от Gateway, снижая конкуренцию за CPU/IO и память, чтобы проблемы не принимали за нестабильный wss. Зафиксируйте корни кэша и пути артефактов в runbook.

Какой официальный пример команды удалённого onboard?

В CLI-документации: openclaw onboard --mode remote --remote-url wss://gateway-host:18789. Открытый ws и OPENCLAW_ALLOW_INSECURE_PRIVATE_WS — только аварийный режим по документированной модели угроз. См. https://docs.openclaw.ai/cli/onboard и Remote gateway setup.

Как эта статья сочетается с runbook по установке?

После установки зафиксируйте базовую линию openclaw doctor и gateway status, затем используйте эту статью для топологии транспорта. Шаги установки — в онсайт-гайде OpenClaw на облачном Mac-хосте; оба текста опираются на одни и те же официальные якоря.

OpenClaw 2026: удалённый канал — SSH-туннель vs Direct (wss)

После установки OpenClaw следующий рубеж обычно — удалённый канал: как ноутбук, бастион CI или другой Mac достучится до Gateway на облачном M4-хосте Vuncloud (или наоборот: операторы в APAC при Gateway в Северной Америке). Direct (wss) поднимает TLS и WebSocket в одном прыжке — кратчайший путь. SSH-туннель (типично -L, локальный port forwarding) заменяет «публичный wss через океан» на «сначала SSH на машину, затем разговор на локальном loopback». Здесь оба режима сведены в одну матрицу решений, с привязкой к Востоку и Западу США и APAC, M4 16 и 24 ГБ, 1 ТБ/2 ТБ и параллельному разнесению, постоянству демона launchd и FAQ по exit 127, Health и сбоям в духе Web Chat. Факты привязаны к Install, onboard CLI и Remote gateway setup; предыдущий runbook по установке — OpenClaw на облачном Mac-хосте: установка, проверка SSH/VNC, регионы, RAM M4, диск и параллель — FAQ.

Паттерна канала (SSH-туннель / Direct wss)

Структурированный FAQ (вкл. 127 / Health / Web Chat)

HowTo (туннель / direct)

Поисковый интент: сначала ограничения исходящего трафика, потом транспорт

Часто противопоставляют «SSH» и «wss». Точнее: wss остаётся прикладным протоколом между клиентом OpenClaw и Gateway; SSH лишь подменяет публичный участок или переносит удалённый loopback-порт на loopback ноутбука в части сетей. Сверьтесь с таблицей ниже, затем меняйте конфигурацию.

Что видите	Вероятная первопричина	Сначала попробуйте
wss падает на корпоративном Wi‑Fi; с мобильной точки доступа работает	Исходящий трафик режет WebSocket/TLS или прокси подменяет сертификаты	Allow-list по политике; или одобренный SSH-туннель вокруг заблокированного прямого участка
Трансокеанский direct подключается, но часто рвётся	Высокий RTT и idle-timeout посредников; или перегрузка одного хоста CPU/IO	Согласуйте регион Gateway с операторами; разнесите параллельные роли; следуйте официальным рекомендациям по логированию gateway
Падает только launchd; интерактивный SSH в порядке	PATH отличается от shell init (типичный exit 127)	Абсолютные пути в plist или один префикс установки; выведите окружение launchctl
Web Chat в браузере ломается; CLI в порядке	Mixed content, расширения или неверный origin браузера	Согласуйте URL wss, сертификаты и Upgrade на обратном прокси

Как это связано с Vuncloud (качественно)

Vuncloud предлагает выделенные Mac mini (семейство M4) в регионах Восток США, Запад США и ключевых точках APAC. Размещение Gateway должно учитывать и людей, и горячий путь к артефактам и API моделей; SKU — на странице тарифов и заказа. Выдача и удалённые сессии — в центре помощи.

SSH-туннель против Direct (wss): сравнение и границы

Здесь Direct означает, что клиент следует официальному удалённому onboard к конечной точке wss://. SSH-туннель — вы держите ssh -L (или эквивалент), сопоставляете удалённый порт с localhost, затем подключаетесь. Примеры портов повторяют распространённые шаблоны CLI-доков — подставьте реальные настройки gateway.

Измерение	Direct (wss)	SSH-туннель (-L)
Прыжки	Мало: TLS прямо до gateway или точки завершения	Дополнительный слой SSH; обходит ситуацию «с ноутбука нельзя достучаться до кросс-регионального wss»
Когнитивная нагрузка на эксплуатацию	Сертификаты, DNS, токен и вывод doctor — источник истины	Ещё и слежение за живостью туннеля и дрейфом локальных портов
Безопасность и комплаенс	Корпоративные базовые линии TLS и ротация ключей	SSH тоже требует MFA, jump host и аудита; не наслаивайте открытый текст на обоих концах
Типичное применение	Исходящий трафик разрешает; listen и сертификаты готовы	Временный разбор, «кривой» кросс-региональный DNS или политика, где разрешён только SSH

Direct (wss): минимальная команда и якоря документации

Официальный пример удалённого режима — в onboard:

удалённый onboard (официальная форма)

openclaw onboard --mode remote --remote-url wss://gateway-host:18789

Открытый ws:// и OPENCLAW_ALLOW_INSECURE_PRIVATE_WS допустимы только в документированной модели угроз; в продакшене по умолчанию следуйте рекомендациям upstream по безопасности.

SSH-туннель: перенос удалённого Gateway на локальный loopback

Когда Gateway слушает только удалённый 127.0.0.1, а вы хотите обращаться как к локальному сервису с ноутбука, обычен локальный forwarding (подставьте реальные порты):

SSH local port forward (пример)

# Ноутбук: сопоставить удалённый 127.0.0.1:18789 с локальным 18789
ssh -N -L 18789:127.0.0.1:18789 user@vuncloud-remote-host

Затем укажите remote-url на wss://127.0.0.1:18789 или документированную форму. Если TLS завершается вне SSH, всё равно следуйте официальным проверкам сертификатов — избегайте сочетаний «самоподписанный плюс глобальное отключение проверки», которые сложно аудировать.

Восток США, Запад США, APAC: одна схема «gateway против оператора»

Региональные нюансы также в полевых заметках аренда облачного Mac-хоста и регионы и в статье облачный Mac-хост и CI/CD. Для OpenClaw важна одна строка: RTT и потери на wss усиливаются на круговых вызовах инструментов. Трансокеанский режим работоспособен, если высокочастотное взаимодействие держать рядом с людьми, а пакетные или исходящие каналы — рядом с репозиториями и API.

M4 16 и 24 ГБ; 1 ТБ/2 ТБ; параллель: когда канал «кажется нестабильным»

Память и диск не меняют протокол wss, но меняют, не примете ли вы swap, заполненный корень или конкуренцию нескольких задач за сетевой сбой. Практическое правило: резидентный Gateway плюс браузерные инструменты и параллельная индексация тяготеют к 24 ГБ для задержки хвоста; 1 ТБ/2 ТБ поглощают логи, кэши и несколько версий тулчейнов. Параллельные инстансы разносят роли, снижают конкуренцию на одном хосте и уменьшают ложные срабатывания Health из-за голодания CPU.

Топология	Какие «ложные» проблемы канала снимает	Цена
Один хост, Direct wss	Простейший канал; минимальная поверхность разбора	Пики сборки могут конкурировать с I/O Gateway
Два узла параллельно: A gateway / B тяжёлые задачи	Более ровные очереди и Health	Токены, корни кэша и сертификаты должны быть в runbook
SSH-туннель с ноутбука к gateway в Северной Америке	Когда исходящий трафик разрешает только SSH	Когда туннель умирает, падает всё — следите за autossh, systemd или сессией Terminal

Постоянство демона (launchd) и разрыв «работает только SSH»

Официальные пути включают openclaw onboard --install-daemon и рекомендации LaunchAgent в документации gateway install. Чек-лист приёмки:

Сразу после перезагрузки выполните openclaw gateway status — не полагайтесь на память о ручном старте.
Используйте те же абсолютные пути к Node/OpenClaw в launchd, что и в интерактивной оболочке, или один официальный префикс установщика, чтобы избежать exit 127.
Подтвердите права на каталог логов и рабочую область по официальным разделам про логирование macOS.

FAQ: exit 127, Health, Web Chat и сквозной разбор туннель/wss

Каждый пункт: симптом → быстрый вывод → действие. Соответствует встроенному JSON-LD FAQPage.

exit 127 под launchd или cron → в PATH нет openclaw / Node → абсолютные пути в plist; сравните which openclaw с интерактивным SSH.
exit 127 только в дочернем процессе скрипта → неверный shebang или env → явно вызывайте /usr/bin/env node или исправьте путь интерпретатора.
doctor / Health ругается на Gateway, а туннель упал → remote-url всё ещё указывает на 127.0.0.1 → сначала поднимите SSH -L, затем команды статуса.
Web Chat не подключается → неверный хост / mixed content / расширения → сверьте кадры WebSocket в DevTools; повторите с отключёнными блокировщиками.
Между запросами 401/403 или неверный токен на direct → несколько источников конфигурации → сведите к одному файлу и одному источнику окружения.
Корпоративный TLS MITM → ОС не доверяет кастомному корню → импорт по политике или документированный паттерн завершения TLS.

Рискованные переключатели

Открытый ws://, отключённая проверка сертификатов и аварийные переменные окружения допустимы только при явной модели угроз и тикете на изменение; по умолчанию следуйте официальным настройкам безопасности.

Завершение и дальнейшее чтение

Рекомендуемый порядок: выберите регион и размещение gateway → Direct или обёртка SSH → исправьте демон и PATH → базовая линия doctor/status → затем подстройте 16/24 ГБ, диск и параллель. Регионы и цены: https://vuncloud.com/ru/arenda-mac-mini.html; справка по выдаче: https://vuncloud.com/ru/podderzhka-mac.html.