Openclaw不能通过域名访问？

域名访问为何总提示"pairing required"？安全机制详解

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

根本原因在于域名访问未被纳入OpenClaw的“安全上下文”机制。即便令牌准确无误，网关也会因访问来源未获信任而拒绝配对请求。这不是普通的配置错误，而是为保护管理入口安全而设计的主动防御措施。

官方强制安全规则解析

OpenClaw的配对系统仅授权以下三种访问通道为可信来源：

1. 在本机直接使用 localhost 或 127.0.0.1；
2. 通过SSH隧道映射至本地 localhost 的访问；
3. 经过特殊配置的Tailscale内网环境。

关键点在于，任何形式的域名访问请求（即使该域名解析至你的服务器真实IP）都会被系统直接标记为“非可信来源”，导致配对流程无法启动。这是由底层安全架构决定的硬性规则，明确此点能避免多数无效尝试。

解决方案：迂回配置实现域名访问

虽然无法直接用域名完成首次配对，但可通过分步操作实现目标：先通过授权通道建立设备信任关系，再调整网关配置以接纳域名访问。具体操作流程如下：

第一步：通过SSH隧道完成核心设备配对（必需步骤）

此阶段目标是在网关中注册你的设备为可信终端。请按顺序严格执行：

1. 确认服务器端OpenClaw服务状态：
   openclaw dashboard
2. 在本地建立SSH端口转发隧道：
   ssh -N -L 18789:127.0.0.1:18789 root@你的服务器IP
   （请将示例IP替换为你服务器的真实公网IP）
3. 在本地完成设备绑定：
   启用浏览器隐私窗口，访问隧道地址：http://localhost:18789/#token=你的有效令牌。确认页面返回“配对成功”状态提示。

第二步：配置网关白名单允许域名访问

设备配对完成后，需修改服务端配置以授权域名访问。登录服务器，编辑OpenClaw主配置文件：

vi /root/.openclaw/config.yaml

按下 i 键进入编辑模式，定位或创建以下配置段（请将示例域名替换为你的实际域名）：

gateway:
  auth:
    token: “你的网关令牌” # 需与配对所用令牌严格一致
  controlUi:
    # 在允许的来源列表中添加你的域名（必须在localhost配对生效后）
    allowedOrigins: [“http://localhost:18789“, “http://你的域名:18789“]
    pairing:
      allowCrossOrigin: true # 为已配对设备启用跨域访问权限

编辑完成后，按 ESC 键退出编辑模式，输入 :wq 保存文件。最后重启网关服务使配置生效：

pkill -f openclaw && openclaw dashboard

第三步：使用域名进行日常访问（仅限已配对设备）

配置生效后，即可通过域名直接访问控制界面：

http://你的域名:18789/#token=你的网关令牌

• 由于你的设备已在第一步通过 localhost 通道完成身份注册，网关会将其识别为安全设备，不再触发 pairing required 拦截。
• 若访问时仍出现提示，建议彻底清除浏览器缓存数据，或直接使用隐私浏览模式重试。

关键实施要点与风险规避

1. 域名无法用于初始配对：这是架构设计的铁律。首次设备绑定必须通过 localhost 或SSH隧道完成。域名访问权限仅在信任关系建立后生效。
2. 严格控制18789端口暴露范围：控制界面作为核心管理入口，直接暴露于公网将引发严重安全风险。推荐使用Nginx反向代理并启用基础认证加固，或严格限制在VPN/SSH隧道内访问。
3. 配对对象是设备而非域名：信任关系建立在你使用的浏览器设备与网关之间。更换浏览器、清除本地存储或使用新设备时，均需重新执行完整的配对流程。

核心要点总结

1. 问题本质：pairing required 提示源于域名访问被安全机制排除在可信上下文之外，无法发起初始配对握手。
2. 标准流程：采用分阶段策略。先通过SSH隧道利用localhost完成设备认证，再修改服务端配置，将域名加入已配对设备的白名单。
3. 配置核心：准确设置 config.yaml 中的 allowedOrigins 与 pairing.allowCrossOrigin 参数，并确保服务重启生效。