チャネル連携の安定性は、ベンダーが信頼する TLS でインバウンドのコールバックが OpenClaw Gateway の固定 URL に届くか、束縛が攻撃面を広げていないかに依存します。一方で多くの VPS は動的出口があり、外向きの送信元 IP が時間で変わります。Webhook パスは生きていても、上流 API の IP 許可だけでは一晩で壊れます。2026 年によくある三方式——Cloudflare Tunnel、Tailscale Funnel、Linux VPS 上の公網 HTTPS リバプロ——を比較し、Gateway のポート束縛とチケットに貼れる L0〜L3 の層別 FAQ に落とし込みます。自ホスト Git の Webhook とトークン設計の整理は 2026年短周期自ホストGit(Gitea/Forgejo)と軽量VPS制御面、按日クラウドMacネイティブiOS構築実行面:Webhookトリガ、最小権限トークンと企業リソースプール隔離の意思決定マトリクスFAQ も参照してください。
コールバックは内向き、動的出口は外向き
混同すると半日溶けます。Slack/Telegram/Discord などはあなたの HTTPS URLへイベントを POST します。DNS・証明書・リバプロの upstream ヘッダ・ループバックか公網かが効きます。別問題として Gateway が REST を叩くとき、相手は送信元 IPを記録したりフィルタしたりします。出口が回るプランなら、OAuth リダイレクトや Webhook シークレットで設計し、謎の IPv4 固定に頼らないか、静的出口を契約してください。
意思決定マトリクス:Tunnel/Funnel/VPS リバプロ
誰がリスナーに届く必要があるか、TLS をどこまで自分で握るか、既に VPS を運用しているかで選びます。本番での HTTPS 終端と openclaw onboard の流れは 2026、OpenClaw Gateway を Linux で本番運用:openclaw onboard の要点、openclaw doctor/--fix、Nginx/Caddy HTTPS 反代、アップグレードとロールバック にまとめています。
| 観点 | Cloudflare Tunnel | Tailscale Funnel | Linux VPS + Nginx/Caddy |
|---|---|---|---|
| コールバック到達性 | 高い。Cloudflare 側の公開ホスト名 | Funnel 対応地域・契約次第で良好 | 443 が開けば高い。DNS と FW を自分管理 |
| TLS 終端 | 多くはエッジ(Universal SSL)+背後トンネル | テールネット経路に沿った証明書運用 | オンボックス ACME か外部 LB |
| Gateway 束縛 | 127.0.0.1:PORT + トンネル ingress 規則 |
ローカルサービス + funnel マッピング | リバプロ背後の 127.0.0.1、または管理用と公開用の分離 |
| 動的出口の影響 | IP 許可リスト単体は解決しない | 同一。アイデンティティは tailnet 側 | 事業者によって外向きも変動し得る。実測で文書化 |
| 運用トレードオフ | デーモン追加と Cloudflare アカウント面 | 自宅検証には簡潔。企業方針で禁止されがち | 最大限の制御。OpenSSL/Nginx のパッチは自分 |
TLS・ホスト名・403 の典型原因
SNI・ホスト名・固定パスをベンダーが検証します。TLS はエッジか VPS のどちらか一か所で終端し、二重暗号化の遅延は意図してから。証明書更新後は upstream のキープアライブを切らないようリロードし、ベンダー再送が裸の TCP RST に当たらないようにします。macOS で検証し Linux で本番にする場合は、launchd と systemd のパス・環境変数の差を Runbook に明記しておくと再現性が上がります。
curl -svo /dev/null --resolve public.example.com:443:203.0.113.10 https://public.example.com/openclaw/webhook \ # TLS と経路が通るか。ここで落ちるなら Gateway 本体の前に原因がある
層別トラブルシュート FAQ(再現用)
L0〜L3 の語を Runbook で揃えると、チャネルを替えても当番が同じ手順で動けます。
L0 — SYN が来ない
外向きホストから公開 URL へ curl -sv。TCP が完走しないなら DNS・トンネル状態・セキュリティグループ・ufw/nftables を Gateway ログより先に直します。
L1 — TLS は通るが 404/502
リバプロのアクセスログと upstream を並べて見ます。Host の不一致、127.0.0.1 のポート違い、証明書更新後の古いワーカーが典型で、トークン検証より手前にあります。
L2 — curl は 200 だがベンダーは再送
負荷時の応答時間・署名ヘッダ・時刻ずれを確認します。数百 ms 以内の JSON ack を要求するプロバイダもあり、ディスクの遅い VPS は配信欠損に見えます。
L3 — 出口依存の連携が一晩で壊れた
ベンダーダッシュボードの送信元 IP と、時間を空けて VPS からの curl ifconfig.me を突き合わせます。許可リストは OAuth クライアント資格かトンネル入口側の設計へ寄せ、謎 IPv4 固定をやめます。
Linux の Webhook エッジと、クラウド Mac の検証環境
インバウンド HTTPS の終端と cloudflared/Caddy は Linux が安く運びやすい一方、GUI や Xcode 近傍の切り分けは macOS が素直です。Mac mini M4 のクラウド環境なら Unix シェル・Homebrew・SSH を WSL なしで揃えられ、Gatekeeper と SIP により典型的な Windows 踏み台よりマルウェアリスクを抑えやすいです。
待機電力おおよそ 4W でファンレスに近い静音のため、VPS 側でトンネルを張りつつ、別担当が macOS で OpenClaw を再現する二段構成も運びやすくなります。
macOS 側も安定した金属に載せたい場合は、VPSSpark のクラウド Mac mini M4 が現実的な足がかりです——プランを今すぐ確認し、トンネル前段の Linux と挙動を揃えましょう。