远程控制 OpenClaw：从群晖 Docker 到本地浏览器的完整隧道指南

背景与核心需求

熟悉OpenClaw的用户都了解，其架构设计非常精妙：核心服务端通常部署在远程服务器，例如群晖NAS上，而控制端则依赖于一个安装在Google Chrome浏览器中的插件，名为**OpenClaw Browser Relay**。然而，这个插件默认只与本地的127.0.0.1:18792地址通信，无法直接识别远程服务器。这导致用户无法便捷地进行远程访问与控制。解决这一问题的经典方案是建立一条安全的SSH端口转发隧道，将远程服务器的服务端口“映射”到本地，从而让浏览器插件误以为目标服务就在本地运行。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

本文将完整记录一次在搭载Docker版OpenClaw的群晖NAS与一台Windows电脑之间，成功建立SSH隧道以实现远程访问的实战过程。文中包含了所有常见错误的排查方法与解决步骤，涉及的任何敏感信息均已进行脱敏处理。

操作环境说明

- 远程服务器：群晖 DS220+ 型号，示例局域网IP地址为192.168.1.100
- OpenClaw部署方式：采用Docker Compose进行容器化部署（容器实例名称为openclaw-openclaw-gateway-1）
- 本地操作机：Windows 11 操作系统，主要使用PowerShell作为命令行工具
- 核心优化目标：通过配置SSH端口转发，将群晖上运行的OpenClaw服务端口安全地映射到本地电脑的18792端口，最终实现浏览器插件对远程服务的无缝访问与控制。

第一步：基础的SSH隧道建立尝试

最初的想法非常直接：在本地Windows电脑上执行一条SSH端口转发命令，建立稳定连接。

ssh -L 18792:127.0.0.1:18792 user@192.168.1.100 -N

常见错误与解决方案

错误1：执行命令后提示ssh: command not found（Windows系统未安装OpenSSH客户端）
解决方法：通过Windows系统的“设置”->“应用”->“可选功能”，添加安装“OpenSSH 客户端”。也可以选择在PowerShell中以管理员身份运行命令Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0来安装。

错误2：连接时出现channel 2: open failed: administratively prohibited: open failed错误
错误分析：出于安全策略考虑，群晖DSM系统默认禁止了SSH的TCP端口转发功能。
解决方法：需要使用拥有Root权限的账户通过SSH登录群晖，然后编辑SSH服务配置文件/etc/ssh/sshd_config。确保文件中包含以下两行配置，并且其前面没有“#”注释符号：

AllowTcpForwarding yes
PermitOpen any

修改保存后，执行命令重启群晖的SSH服务以使配置生效：

synoservicectl --restart sshd

错误3：提示Permission denied, please try again.（认证失败，通常是密码错误）
排查步骤：首先使用基础的SSH登录命令ssh user@192.168.1.100，单独测试用户名和密码是否正确。如果仍有问题，可以在命令中加入-v（verbose）参数，如ssh -v user@192.168.1.100，来查看详细的连接和认证过程日志，定位问题根源。

第二步：隧道建立成功，但本地访问出现拒绝连接

修正上述问题后，再次执行SSH隧道命令：

ssh -L 18792:127.0.0.1:18792 user@192.168.1.100 -N

输入密码后，命令窗口保持运行状态，看似连接正常。但当使用浏览器访问http://127.0.0.1:18792时，SSH命令窗口立即弹出了错误信息：

channel 2: open failed: connect failed: Connection refused

这个错误信息清晰地指出了问题所在：本地端口转发已经成功建立，但SSH客户端试图将请求转发到远程服务器的127.0.0.1:18792时，目标地址并没有服务在监听该端口。这表明OpenClaw服务实际监听的可能并不是默认文档中提到的18792端口。

第三步：定位OpenClaw服务的实际监听端口

通过SSH登录到群晖NAS，运行Docker命令查看OpenClaw相关容器的端口映射详情：

docker ps | grep openclaw

命令输出内容示例如下：

dcd1b6c4a45c nginx:alpine ... 0.0.0.0:8443->443/tcp openclaw-nginx
5f05be4dd7a2 openclaw:local ... 0.0.0.0:18789-18790->18789-18790/tcp openclaw-openclaw-gateway-1

从输出信息可以明确看到，名为openclaw-openclaw-gateway-1的网关容器，将宿主机（群晖）的18789-18790端口范围映射到了容器内部。为了确定具体是哪个端口负责与浏览器插件通信，我们可以在群晖本地进行快速测试：

curl http://127.0.0.1:18789 # 成功返回OpenClaw网关的Web控制界面HTML代码
curl http://127.0.0.1:18790 # 返回 `Connection refused`，表示该端口无服务

至此真相大白，OpenClaw网关服务实际用于通信的端口是18789，而非预设的18792。

第四步：修正SSH隧道命令参数

首先终止之前配置错误的SSH隧道进程（通常按Ctrl+C即可）。然后执行修正后的端口转发命令：

ssh -L 18792:127.0.0.1:18789 user@192.168.1.100 -N

再次使用浏览器访问http://127.0.0.1:18792。此时，SSH命令窗口保持静默，没有报错。但浏览器页面显示如下信息：

unauthorized: gateway token missing

这是一个积极的信号！它表明SSH隧道已经成功打通，网络请求可以正确抵达远程的OpenClaw服务，当前受阻于服务层的身份认证环节。

第五步：获取并在浏览器中配置OpenClaw网关令牌

OpenClaw默认启用了**令牌（Token）认证机制**，必须在访问时提供正确的网关令牌才能通过验证。

在群晖Docker容器中查看或生成令牌

首先，通过SSH进入存放OpenClaw项目的docker-compose目录（例如/volume1/docker/openclaw）。然后执行以下命令来查看当前已配置的网关令牌：

docker compose exec openclaw-gateway node dist/index.js config get gateway.auth.token

如果命令返回为空，则表示尚未生成令牌，需要执行以下命令来创建一个新的：

docker compose exec openclaw-gateway node dist/index.js doctor --generate-gateway-token

命令执行后，控制台会输出一串以ocw_开头、由字母数字组成的令牌字符串，请完整复制并妥善保存。

在浏览器插件界面中设置令牌

回到本地电脑的浏览器，再次访问http://127.0.0.1:18792。页面会提示未授权（unauthorized），同时会出现一个用于输入**Gateway Token**的文本框。将上一步复制的令牌完整粘贴到该文本框中，然后点击保存或确认按钮。保存成功后，刷新整个浏览器页面，此时应该能够成功加载出OpenClaw的Web控制管理界面。

成功连接后，请注意观察浏览器工具栏区域的OpenClaw Browser Relay插件图标，其状态会从灰色离线变为亮橙色并显示 **ON** 标识，这表明插件已成功识别并连接到了通过隧道映射的远程OpenClaw服务。

第六步：处理新设备的连接批准（如遇连接问题）

在某些配置下，即使正确配置了网关令牌，浏览器可能仍然无法正常与控制界面交互。这可能是因为OpenClaw启用了“设备配对”安全特性，任何新的连接请求都需要在服务端手动批准。

当您首次通过浏览器访问http://127.0.0.1:18792后，OpenClaw后端会生成一条处于“待处理（pending）”状态的设备连接请求。您可以在群晖上执行以下命令来列出所有设备请求：

docker compose exec openclaw-gateway node dist/index.js devices list

查看命令输出，找到状态（Status）列为pending的那条记录。示例如下：

Request ID                            Device ... Status
a7590340-2fc2-42bb-841b-83553e5032f1 ...        pending

复制该记录对应的**Request ID**，然后执行批准命令：

docker compose exec openclaw-gateway node dist/index.js devices approve a7590340-2fc2-42bb-841b-83553e5032f1

设备获得批准后，重新刷新浏览器中的OpenClaw控制页面，即可获得完整的访问与控制权限。

核心要点总结与回顾

回顾整个OpenClaw远程访问的SSH隧道配置流程，以下几个关键节点和注意事项对于成功部署至关重要：

1. 确保SSH服务配置正确：成功建立隧道的前提是远程SSH服务器允许TCP端口转发。务必检查并修改sshd_config文件中的AllowTcpForwarding和PermitOpen选项，并重启SSH服务。
2. 准确核实服务端口：Docker容器映射的端口可能与官方文档或默认值不同。最可靠的方法是登录服务器，使用docker ps结合curl或telnet命令进行本地端口连通性测试。
3. 妥善处理网关认证：OpenClaw的令牌认证是安全访问的核心。必须通过Docker命令正确获取网关令牌（Gateway Token），并在浏览器的插件或访问页面中准确配置。
4. 关注设备管理功能：若服务端启用了设备管理，所有新浏览器的连接都需要在服务端管理界面或通过命令行进行手动批准，这是一个常见但容易被忽略的步骤。

最终，通过一条形式简洁但功能强大的SSH命令ssh -L 18792:127.0.0.1:18789 user@remote-ip -N，我们高效地实现了将远方群晖NAS中的OpenClaw服务“本地化”，从而为浏览器插件提供了稳定、安全的远程控制通道。

附录：常用命令快速参考手册

- 建立并保持SSH隧道连接：
ssh -L 18792:127.0.0.1:18789 user@192.168.1.100 -N

- 查看Docker容器端口映射状态：
docker ps | grep openclaw 或 docker port

- 在OpenClaw网关容器内执行管理命令：
docker compose exec openclaw-gateway node dist/index.js [具体命令]

- 获取当前网关认证令牌：
docker compose exec openclaw-gateway node dist/index.js config get gateway.auth.token

- 批准特定设备的连接请求：
docker compose exec openclaw-gateway node dist/index.js devices approve

- 列出所有（包括待处理）的设备连接：
docker compose exec openclaw-gateway node dist/index.js devices list

希望这份结合了实战经验与排错细节的完整指南，能够有效帮助各位用户在类似的网络环境下，顺利实现OpenClaw的远程访问与控制。如果在实践过程中遇到新的问题，也欢迎进行深入的交流与探讨。