Passerelle OpenClaw via Tailscale mesh sur Mac cloud loué (2026)
Les équipes qui font tourner OpenClaw 24/7 sur un Apple Silicon loué à HK, JP, KR, SG et aux États-Unis veulent un accès stable à 127.0.0.1:18789 sans exposer le nœud à Internet. Tailscale apporte des adresses 100.x stables, du trafic est-ouest filtré par ACL et une piste d’audit. Ce guide complète installation & déploiement, s’aligne avec variables & clés API et précède dépannage passerelle.
Pourquoi le mesh pour OpenClaw
- Portables itinérants : même Mac cloud derrière tout NAT d’hôtel.
- Séparer les rôles — ex.
tag:openclaw-operatorsdistinct des utilisateurs VPN génériques. - Inter-régions (build JP vers passerelle SG) : TCP fiable plutôt que tunnels SSH artisanaux.
- SSH reste pour l’administration shell ; le mesh est transport, pas un substitut à un bon
launchd.
Checklist sur le Mac cloud
- Mac à jour ; SSH conforme à l’aide.
- Client mesh avec flux unattended ou auth-key adaptés au headless.
- Machine tag dans la console pour cibler
tag:macxcode-nodedans les ACL. - Redémarrage : démon mesh + LaunchAgent OpenClaw via
launchctl.
Passerelle et port 18789
Les setups sains gardent OpenClaw en loopback et forwardent sélectivement :
ssh -N -L 18789:127.0.0.1:18789 user@100.x.y.z
100.x.y.z est l’adresse mesh du Mac loué. Alternative : TLS sur reverse proxy local lié au seul interface mesh — documentez-le avec Docker vs npm natif.
0.0.0.0:18789 « parce que Tailscale » surprend encore les auditeurs pare-feu — refus par défaut, autorisation explicite.
ACL, tags, moindre privilège
| Tranche | Qui | Ports / chemins |
|---|---|---|
| Opérateurs | Astreinte & seniors | SSH + 18789 forwardé |
| Bots CI | Comptes de service | Pas d’UI mesh — API loopback |
| Observateurs | PM / support | Routes de statut seulement si exposées |
Matrice : SSH seul vs mesh-first
| Sujet | SSH seul | Mesh-first |
|---|---|---|
| Chemin laptop → Mac | Casse au changement de NAT | ✓ 100.x stable |
| Audit | Logs par hôte | ✓ Logs tailnet + hôte |
| Complexité | Démarrage simple | Plus élevée — discipline ACL |
DNS et fournisseurs de modèles
OpenClaw doit résoudre OpenAI, Anthropic ou miroirs régionaux. Avec MagicDNS, vérifiez qu’il n’écrase pas un split-horizon d’entreprise dont dépend votre registre SG. Capturez un échec DNS dans les logs structurés avant de blâmer la passerelle.
FAQ
| Question | Réponse |
|---|---|
| Supprimer SSH ? | Peu réaliste sur macOS — shell pour openclaw doctor. |
| Le mesh supprime les LaunchAgents dupliqués ? | Non — lancer doctor après changements réseau. |
| Résidence des données ? | Plan de contrôle mesh ≠ région Mac — choisir d’abord la région matérielle. |
Mac mini M4 chez MacXCode
La location Mac mini M4 offre des watts idle prévisibles, du NVMe pour logs et workspaces, et le choix de région pour la latence mesh. Parcourir les tarifs, puis figer mesh+SSH dans les runbooks aide.
En bref : Tailscale est une politique de transport — coupler loopback, ACLs et la même rigueur que pour les secrets CI.
