本地 OpenClaw 部署后如何公网访问？手把手教你用腾讯云搭建安全隧道

最近在自己电脑上跑 OpenClaw 模型的朋友应该深有体会——本地训练的模型、调试的 API 接口，想在外面随时调用，或者给朋友演示一下效果，结果发现根本访问不了。

很多人第一反应是去搜“免费内网穿透”、“ngrok”或者“花生壳”。

⚠️ 先别急，这里面有个大坑：你的数据会先经过第三方服务器中转。

举个实际例子：你在本地跑了个 OpenClaw 的对话模型，用户通过公网访问时，每一条对话记录、每一次 API 调用，都会先流经穿透服务商的服务器，然后才转发到你的本地机器。这意味着你的用户隐私、模型参数、业务数据，全在别人的地盘上裸奔。而且很多免费工具不提供加密传输，日志泄露风险极高。

内网穿透本质上是在家门口挖了一条直通公网的隧道。如果不做安全加固，黑客顺着这条隧道就能摸进你家内网。最稳妥的方案，是用自己的云服务器做跳板，数据只在你的两台机器之间流转，既实现了公网访问，又把数据隐私牢牢攥在自己手里。

为什么不推荐免费方案？

做内网穿透这几年，我试过至少 7 种工具。直接对比一下主流方案的真实体验：

免费节点的带宽是所有用户共享的。就像十个人抢一根网线，白天传个 200MB 的配置包可能断连 3 次，晚上高峰期甚至根本连不上。对于 OpenClaw 这种可能涉及图片生成或长文本传输的应用，带宽稳定性是核心指标。

很多教程建议“买台云服务器自己搭 FRP”，但这笔账得算细一点：普通云服务器（ECS）升级带宽非常贵，且配置繁琐。结合腾讯云官方教程最佳实践，优先选择轻量应用服务器（Lighthouse），开箱即用、运维成本低，完美适配 OpenClaw 私有化部署需求。

»OpenClaw 专属优惠购买入口：https://cloud.tencent.com/act/pro/lighthouse-moltbot«

相比之下，轻量服务器在带宽成本和易用性上对开发者更友好。如果你的 OpenClaw 服务需要传输单次超过 50MB 的文件，或者有视频流需求，大带宽是刚需。

实战：12分钟搭建安全隧道

拿到服务器后，我们用 FRP (Fast Reverse Proxy) 来搭建这条私有隧道。整个流程实测 12 分钟搞定。

1. 前置准备

确认 OpenClaw 服务状态

默认情况下，OpenClaw 监听在 内网 IP:3000 端口。在本地机器终端跑一下：

curl http://localhost:3000/health

看到返回 JSON 说明服务正常。

放行云端防火墙

腾讯云轻量的防火墙默认只开了 22 和 80。去控制台 → 防火墙规则，新增：

• 协议：TCP
• 端口：7000 (FRP通信) 和 6000 (我们要暴露的公网端口)
• 来源：0.0.0.0/0

2. 服务端配置（云服务器）

SSH 登录你的轻量服务器，执行以下命令安装 FRP 服务端：

# 下载 frp (以 v0.52.0 为例，请根据实际情况选择版本)
wget https://github.com/fatedier/frp/releases/download/v0.52.0/frp_0.52.0_linux_amd64.tar.gz
tar -zxvf frp_0.52.0_linux_amd64.tar.gz
cd frp_0.52.0_linux_amd64

# 创建配置文件 frps.ini
cat > frps.ini << EOF
[common]
bind_port = 7000
EOF

# 启动服务端 (建议配合 nohup 或 systemd 后台运行)
./frps -c frps.ini

3. 客户端配置（本地内网机器）

在运行 OpenClaw 的本地电脑上，下载对应系统的 FRP 客户端，并创建 frpc.ini：

cat > frpc.ini << EOF
[common]
server_addr = 你的轻量服务器公网IP
server_port = 7000

[openclaw]
type = tcp
local_ip = 127.0.0.1
local_port = 3000
remote_port = 6000
EOF

# 启动客户端
./frpc -c frpc.ini

4. 验证

浏览器访问 http://你的公网IP:6000，如果能看到 OpenClaw 的登录界面，说明隧道打通成功。

遇到 502 Bad Gateway？

通常是本地 OpenClaw 服务没响应。尝试重启本地服务：

# OpenClaw Gateway 支持 API 重启
curl -X POST http://localhost:3000/api/system/restart \n  -H "Authorization: Bearer 你的API密钥"

安全加固：不要让服务器“裸奔”

把服务器暴露在公网，安全配置必须跟上。建议配置完立刻执行以下操作：

1. SSH 密钥登录

腾讯云默认允许密码登录，建议换成密钥对，并禁用密码登录。这能直接废掉 99% 的暴力破解脚本。

2. 严格的安全组策略

不要为了图省事把所有端口全开。只开放必要的端口（如 22, 80, 443, 7000, 6000）。如果你家里是动态 IP，可以写个简单的脚本调用腾讯云 API，自动把家里的 IP 加入 SSH 的白名单。

3. 开启自动安全更新

服务器漏洞修补要快。设置自动更新，让系统在凌晨自动安装安全补丁：

# Ubuntu/Debian
sudo apt install unattended-upgrades
# CentOS
sudo yum install yum-cron

常见问题 (FAQ)

Q: 服务器配置不够怎么办？

最低 4GB 内存就能跑 FRP 和简单的 Web 服务，但如果你打算在云端也部署部分轻量级模型，建议直接上 8GB 或更高配置。腾讯云轻量套餐性价比很高，升级成本可控。

Q: 为什么不直接用 ZeroTier 或 Tailscale？

这两者是优秀的异地组网工具，但它们更适合“自己访问自己”。如果你需要让其他人（客户、同事）通过公网链接直接访问你的 OpenClaw，FRP 这种反向代理模式是体验最好的，用户无需安装任何软件。

Q: 多台设备怎么管理？

FRP 支持多客户端接入。在 frpc.ini 中修改 [openclaw] 为 [nas]、[test-server] 等不同名称，并分配不同的 remote_port，即可用一台云服务器管理家里所有的内网设备。

Q: 忘记管理密码咋办？

如果是 OpenClaw 的管理员密码忘了，需 SSH 登录本地服务器重置；如果是云服务器密码忘了，直接去腾讯云控制台重置即可。