2026 OpenClaw macOS Remote-Modus:
SSH-Tunnel zum NOVAKVM Bare-Metal-M4-Pro-Gateway in sechs Regionen, Node-Host-Toolbrücke und Session-Keepalive

Viele Ingenieure nutzen die OpenClaw-macOS-App auf dem Laptop, wollen das Gateway aber auf einem Bare-Metal-Remote-Mac-mini-M4-Pro in Singapur, Tokio, Seoul, Hongkong, US East oder US West dauerhaft laufen lassen. Der Laptop bleibt eine dünne Konsole. Scheitern tut man selten am ersten SSH-Login, sondern an halb konfiguriertem Remote: Dashboard über den Tunnel gesund, Node Host nie gepairt, Browser-Tools auf dem falschen Rechner, oder ein stilles Tunnel-Ende, das wie Gateway-Ausfall wirkt. Dieser Text erklärt Local versus Remote over SSH versus Remote direct (ws/wss), ws://127.0.0.1:18789 durch den Tunnel, CLI Node Host und Session-Keepalive auf langen Pfaden. Preise: NOVAKVM-Mietpreisseite; Bestellung: Bestellseite; SSH-Richtlinien: Hilfezentrum. Ergänzend: Gateway und Control UI per SSH/TLS, Erstinstallation.

Nach dem Lesen wählen Sie Local, Remote over SSH oder Remote direct; Sie wissen, wo Node Host für Browser- und Canvas-Tools laufen muss; und Sie setzen Keepalive und Host-Keys so, dass idle SSH nicht als „Gateway down“ erscheint. Nach jedem OpenClaw-Upgrade die offizielle Doku erneut öffnen.

[ SECTION_01 ] // REMOTE_PITFALLS Fünf Stolpersteine, wenn die macOS-App ein Remote-Gateway steuert

Erstens Remote als „Port 18789 ins Internet“ — das widerspricht Loopback-plus-Tunnel und schwächt Audit. Zweitens der eingebaute App-Node für Browser-Automation in Remote: upstream verlagert das auf CLI Node Host via openclaw node install. Drittens exit 127, wenn openclaw im BatchMode-PATH fehlt. Viertens geteilte Transports, wenn Web Chat noch einen alten lokalen Port nutzt. Fünftens SSH ohne Keepalive: Gateway auf NOVAKVM lebt, der Laptop-Tunnel ist tot, jemand startet Dienste unter ~/.openclaw neu.

In Review-Meetings fehlt oft ein einseitiges Lastprofil: Spalte A nennt Gateway-Owner, Spalte B Tunnel-Owner, Spalte C Node-Host-Owner. Ohne diese Trennung diskutiert das Team wochenlang über Modell-Latenz, obwohl nur der SSH-Forwarder abgestürzt ist. Grenzüberschreitende Teams mit Logs oder Screenshots, die personenbezogene Daten enthalten, sollten Zweckbindung und Löschfristen mit der DSGVO und interner Datenflusskontrolle in dieselbe Checkliste wie Keepalive und Host-Key-Rotation schreiben — unabhängig davon, ob der Gateway in Tokio oder US West steht.

  • Öffentliches Raw-18789: Scanner-Lärm, passt nicht zum Loopback-first-Design.
  • Fehlender Node Host: Dashboard OK, Menüleiste „paired · disconnected“ für Mac-Fähigkeiten.
  • Remote-CLI nicht im PATH: Test remote und Health-Probes mit exit 127.
  • Tunnel ohne Keepalive: stille Drops als Gateway-Fehler.
  • Falsche Region: hohe RTT für Test remote und SSH-Idle-Timeouts.
  • Gemeinsamer macOS-Benutzer: schwaches Rollback, wenn Laptop und Remote-Host dasselbe Workspace-Verzeichnis beschreiben.

Remote gelingt, wenn Gateway, Tunnel-URL und Node Host drei benannte Komponenten mit Ownern sind — nicht „irgendwie Cloud“.

[ SECTION_02 ] // MODE_MATRIX Local, Remote over SSH und Remote direct als Entscheidungsmatrix

Local läuft alles auf dem Laptop. Remote over SSH ist der NOVAKVM-Default: Remote-Befehle, ssh -N -L mit BatchMode, gateway.remote.url auf ws://127.0.0.1:18789 für Web Chat und CLI. Remote direct (ws/wss) überspringt SSH bei vertrauenswürdigem LAN, Tailnet oder TLS-URL; das Gateway sieht die echte Client-IP.

Wer später Model-Inference mit Apple-Metal-beschleunigten Workloads auf dem Remote-Mac plant, sollte trotzdem zuerst Remote-SSH festziehen: die GPU-Pfade auf dem Host sind unabhängig davon, ob der Operator den Tunnel oder Direct nutzt. Vermischen Sie in Dokumentation nicht „Metall“ mit der API-Bezeichnung Metal.

OpenClaw macOS Remote-Pfade für NOVAKVM Sechs-Regionen-Gateway (Feldnotizen 2026)
Dimension A · Local auf Laptop B · Remote over SSH (Default) C · Remote direct ws/wss
Best fit Solo-Experimente, Offline-Demos, kein 24/7-Agent Gateway auf NOVAKVM M4 Pro; Laptop nur Konsole Tailnet/LAN-URL bereits auditiert; Zertifikatsstory stabil
Gateway-Bind Loopback auf Laptop Loopback auf Remote-Mac; Tunnel zum Laptop LAN/Tailscale/öffentliche URL nach Security-Review
Node-IP im Gateway Echte Laptop-IP Oft 127.0.0.1 via Tunnel (erwartet) Echte Client-IP auf dem Draht
Sechs Regionen N/A für Cloud-Agenten Region nach Modell, Daten, Operator-RTT TLS-Termination nahe am Mac; keine doppelten Cross-Border-Hops

Kollokieren Sie das primäre Gateway bei der Mehrheit der Operatoren, nicht nur bei der günstigsten Region auf der Preisseite. Tages- oder Wochenmiete reicht, um zwei Kandidatenstädte mit Test remote zu vergleichen, bevor Monatsmiete bindet.

Wenn mehrere Entwickler gleichzeitig Web Chat und CLI nutzen, dokumentieren Sie trotzdem einen kanonischen SSH-Forward pro Projekt in ~/.ssh/config. Parallele Ad-hoc-Tunnel auf verschiedenen lokalen Ports erzeugen Support-Tickets, in denen „Gateway down“ eigentlich „falscher Bookmark“ heißt. Für Teams mit Jump-Host oder Bastion gehört ProxyJump in dieselbe Vorlage wie IdentityFile und Keepalive — sonst scheitert Test remote nur auf Laptops ohne Bastion-Zugang.

Default: Remote over SSH auf NOVAKVM-Loopback-Gateway; Aufstieg zu direct ws/wss nur mit auditiertem Tailnet oder TLS.

[ SECTION_03 ] // GATEWAY_NODE_HOST Remote-Voraussetzungen, Node-Host-Brücke und SSH-Keepalive

Auf dem NOVAKVM-Host: openclaw im PATH für BatchMode-Shells, Gateway an Loopback, SSH nur mit Keys. Remote-TCC-Freigaben (Automation, Screen Recording), wenn Agenten dort laufen. In der App Settings → General → Remote: SSH oder Direct, Test remote, dann openclaw node install auf dem Mac, der Tools ausführen soll. Dashboard OK bei offline Mac-Fähigkeiten bedeutet meist: Node gepairt, aber disconnected.

Upstream dokumentiert openclaw-mac configure-remote, Port-Felder, exit 127, Web-Chat-WS-Health und Tailscale-TLS-Pin-Rotation. Nach jedem Release erneut lesen.

https://docs.openclaw.ai/platforms/mac/remote

https://github.com/openclaw/openclaw

ssh-remote-gateway.example 
ssh -N \
  -o BatchMode=yes \
  -o ServerAliveInterval=30 -o ServerAliveCountMax=3 \
  -L 18789:127.0.0.1:18789 \
  user@novakvm-sg-m4.example

gateway.remote.remotePort an den Remote-Listener anpassen; SSH-Host-Keys vorab vertrauen; bei direct wss:// auf Tailscale Serve veraltete TLS-Pins löschen oder gateway.remote.tlsFingerprint setzen. Forwards nicht auf 0.0.0.0 binden.

Node Host kapselt keinen SSH-Transport wie die Gateway-Client-Pfade: einheitlich 127.0.0.1:Forward-Port verwenden. Nach Gateway-Neustart explizit openclaw node restart prüfen, um stille Zombies nach WebSocket-1012 zu vermeiden.

[ SECTION_04 ] // RUNBOOK Zwölf Schritte: Remote-Modus auf einem Sechs-Regionen-M4-Pro-Gateway

  1. Moduszeile wählen: Local, Remote-SSH oder Remote-direct mit Ownern und verbotenen Shortcuts auf einer Seite dokumentieren.
  2. Mac bestellen und provisionieren: Stadt auf der Bestellseite; SSH-Zugang laut Hilfezentrum.
  3. Remote-CLI installieren: openclaw im BatchMode-PATH; openclaw gateway status ins Change-Ticket.
  4. Gateway an Loopback binden: Standard-WebSocket-Port auf 127.0.0.1, außer direct hat Security-Freigabe.
  5. SSH-Config veröffentlichen: LocalForward, IdentityFile, BatchMode=yes, Keepalives; keine All-Interface-Binds.
  6. App vorab (optional): openclaw-mac configure-remote mit --ssh-target, Ports, Token vor GUI-Onboarding.
  7. Test remote in Settings: Erfolg = Remote-openclaw status --json; exit 127 vor Operator-Einladung beheben.
  8. Node Host dort installieren, wo Tools laufen: Laptop für lokalen Browser, Remote-Mac wenn Tools dort laufen; Service starten, node.list prüfen.
  9. Workspace-Roots angleichen: Projektroot und CLI-Pfade auf Remote-Checkout; Sandbox getrennt von Produktion.
  10. Tunnel-Drop drillen: SSH während Meeting killen; Recovery in fünf Minuten ohne Gateway-Neustart.
  11. Sechs Regionen scoren: Operator-Städte, Modell-Regionen, Datenresidenz; SG, JP, KR, HK, US East oder US West wählen.
  12. Quartalsreview: SSH- und Gateway-Logs stichprobenartig; bei CI-Stack parallel Preisseite für zweiten Knoten prüfen.

[ SECTION_05 ] // DATA_FAQ Zitierte Parameter, Sechs-Regionen-Hinweise und FAQ

Die folgenden Punkte sind Feld-Konventionen für Planung und Runbooks — keine Garantien für Ihren Build. Ports, Flags und Menülabels nach jedem Upgrade mit OpenClaw-Doku abgleichen.

Nutzen Sie die Werte in Architektur-Reviews, nicht als SLA gegenüber dem Business. Fließen personenbezogene Inhalte über Web Chat, Node-Logs oder Screenshots, gehören getrennte macOS-Benutzer für CI und Agent sowie Aufbewahrungsfristen in Zugriffs- und Vertragsdokumentation — parallel zur Mietstufe und unabhängig vom Transport (SSH oder direct).

  • Default-Gateway-WebSocket-Port: Community und Remote-Docs häufig 18789; bei Änderung gateway.remote.remotePort und Forward-Ziele gemeinsam anpassen.
  • SSH-Keepalive: ServerAliveInterval=30 mit ServerAliveCountMax=3 reduziert stille Tunnelverluste; die App verwaltet eigene SSH-Sessions bei Konfiguration über Settings.
  • Node-IP 127.0.0.1 unter SSH: erwartet; für echte Laptop-IP in Gateway-Logs auf Remote direct wechseln.
  • Sechs-Regionen-RTT: US-East-Operatoren mit Tokio-Gateway: Test remote und Web-Chat-Health strecken; Kollokation oder zweite Konsole in-Region.

FAQ

  • F: Test remote OK, Web Chat hängt? A: Remote-Gateway läuft und lokaler Forward-Port = Gateway-WS-Port; UI braucht gesundes WebSocket, keinen Legacy-HTTP-WebChat.
  • F: Gateway nachts auf dem Laptop? A: Für 24/7-Agenten Gateway auf gemietetem M4 Pro, Remote-Modus — Laptop-Sleep killt Kanäle.
  • F: Voice Wake in Remote? A: Upstream leitet Trigger über Remote-Config; kein separater Forwarder bei korrektem Remote.
  • F: M4 oder M4 Pro als Remote-Gateway? A: Leichte Single-Workspace-Konsole oft M4; stabiles Multi-Workspace-Gateway plus Remote-Node meist M4-Pro-Stufen auf der Preisseite.

Heim-Macs leiden unter Sleep; generische VMs fehlen macOS-TCC und Kanal-Tools; Ad-hoc-Tunnel verdecken exit 127 und Node-Host-Lücken. Wer OpenClaw, iOS-CI und KI-Agenten auf einem dokumentierten Remote-SSH-Pfad zu einem Sechs-Regionen-Gateway braucht, findet bei NOVAKVM Bare-Metal-Mac-mini-Miete meist die bessere Passform: exklusives M4 Pro, elastische Tages- oder Wochentests, parallele Knoten bei Stapel-Last. Legen Sie im Change-Ticket immer die drei Komponenten Gateway, Tunnel und Node Host mit Verantwortlichen ab — das ersetzt Mitternachts-Diskussionen über „Cloud-Verbindung“. Standard-Satz im nächsten Meeting: Loopback-Gateway, SSH zu 127.0.0.1:18789 auf dem Laptop, Node Host auf der Maschine, die Tools ausführt — direct nur mit benanntem Owner.