Bonjour / mDNS 发现
OpenClaw 可以用 Bonjour(mDNS / DNS-SD)在局域网内发现活跃 Gateway 的 WebSocket 端点。这是一个尽力而为的发现机制,不能替代 SSH 或 tailnet 连接。
广域 Bonjour(单播 DNS-SD)通过 Tailscale
如果节点和 Gateway 不在同一个网络里,组播 mDNS 跨不过网络边界。可以通过 Tailscale 改用单播 DNS-SD,也就是“广域 Bonjour”,保留类似的发现体验。
高层步骤:
- 在网关(Gateway)主机上运行 DNS 服务器(通过 Tailnet 可达)。
- 在专用区域下发布
_openclaw-gw._tcp的 DNS-SD 记录 (示例:openclaw.internal.)。 - 配置 Tailscale 分割 DNS,使你选择的域名通过该 DNS 服务器为客户端(包括 iOS)解析。
OpenClaw 支持任何发现域名;openclaw.internal. 只是一个示例。 iOS/Android 节点会同时浏览 local. 和你配置的广域域名。
Gateway 配置
{
gateway: { bind: "tailnet" }, // 仅 tailnet(推荐)
discovery: { wideArea: { enabled: true } }, // 启用广域 DNS-SD 发布
}一次性 DNS 服务器设置
openclaw dns setup --apply这会安装 CoreDNS 并将其配置为:
- 只在 Gateway 的 Tailscale 接口上监听 53 端口。
- 从
~/.openclaw/dns/<domain>.db提供你选择的域名,例如openclaw.internal.。
从 Tailnet 连接的机器上验证:
dns-sd -B _openclaw-gw._tcp openclaw.internal.
dig @<TAILNET_IPV4> -p 53 _openclaw-gw._tcp.openclaw.internal PTR +shortTailscale DNS 设置
在 Tailscale 管理控制台中:
- 添加一个指向网关(Gateway)tailnet IP 的域名服务器(UDP/TCP 53)。
- 添加分割 DNS,使你的发现域名使用该域名服务器。
一旦客户端接受 tailnet DNS,iOS 节点就可以在你的发现域名中浏览 _openclaw-gw._tcp,无需组播。
Gateway 监听安全
Gateway WebSocket 端口默认是 18789,默认只绑定 loopback。要从局域网或 tailnet 访问,需要显式绑定,并保持认证开启。
对于仅 tailnet 的设置:
- 在
~/.openclaw/openclaw.json中设置gateway.bind: "tailnet"。 - 重启 Gateway,或重启 macOS 菜单栏应用。
广播内容
只有 Gateway 会广播 _openclaw-gw._tcp。
服务类型
_openclaw-gw._tcp:Gateway 传输信标,供 macOS、iOS、Android 节点使用。
TXT 键(非机密提示)
网关(Gateway)广播小型非机密提示以方便 UI 流程:
role=gatewaydisplayName=<friendly name>lanHost=<hostname>.localgatewayPort=<port>(网关(Gateway)WS + HTTP)gatewayTls=1(仅在启用 TLS 时)gatewayTlsSha256=<sha256>(仅在启用 TLS 且指纹可用时)canvasPort=<port>(仅在启用 canvas host 时;当前与gatewayPort相同)sshPort=<port>(未覆盖时默认为 22)transport=gatewaycliPath=<path>(可选;openclaw可执行入口的绝对路径)tailnetDns=<magicdns>(Tailnet 可用时的可选提示)
安全说明:
- Bonjour/mDNS TXT 记录没有认证。客户端不应把 TXT 当成权威路由。
- 客户端应使用解析的服务端点(SRV + A/AAAA)进行路由。将
lanHost、tailnetDns、gatewayPort和gatewayTlsSha256仅作为提示。 - TLS 固定不得允许广播的
gatewayTlsSha256覆盖之前存储的固定值。 - iOS/Android 节点应将基于发现的直连视为仅限 TLS,并在信任首次指纹前要求用户显式确认。
在 macOS 上调试
有用的内置工具:
浏览实例:
bashdns-sd -B _openclaw-gw._tcp local.解析单个实例(替换
<instance>):bashdns-sd -L "<instance>" _openclaw-gw._tcp local.
如果浏览正常但解析失败,通常是局域网策略或 mDNS 解析器问题。
在网关(Gateway)日志中调试
网关(Gateway)写入滚动日志文件(启动时打印为 gateway log file: ...)。查找 bonjour: 行,特别是:
bonjour: advertise failed ...bonjour: ... name conflict resolved/hostname conflict resolvedbonjour: watchdog detected non-announced service ...
在 iOS 节点上调试
iOS 节点使用 NWBrowser 来发现 _openclaw-gw._tcp。
要捕获日志:
- 设置 → Gateway → Advanced → Discovery Debug Logs
- 设置 → Gateway → Advanced → Discovery Logs → 复现 → Copy
日志包含浏览器状态转换和结果集变更。
常见故障模式
- Bonjour 不跨网络:使用 tailnet 或 SSH。
- 组播被阻止:某些 Wi-Fi 网络会禁用 mDNS。
- 休眠或接口变动:macOS 可能临时丢失 mDNS 结果,重试即可。
- 浏览正常但解析失败:保持机器名简单,避免表情符号或标点,然后重启 Gateway。服务实例名称来自主机名,太复杂可能让部分解析器出问题。
转义的实例名称(\032)
Bonjour/DNS-SD 经常将服务实例名称中的字节转义为十进制 \DDD 序列(例如空格变为 \032)。
- 这在协议级别是正常的。
- UI 应该解码显示(iOS 使用
BonjourEscapes.decode)。
禁用/配置
OPENCLAW_DISABLE_BONJOUR=1禁用广播(旧版:OPENCLAW_DISABLE_BONJOUR)。~/.openclaw/openclaw.json中的gateway.bind控制网关(Gateway)绑定模式。OPENCLAW_SSH_PORT覆盖 TXT 中广播的 SSH 端口(旧版:OPENCLAW_SSH_PORT)。OPENCLAW_TAILNET_DNS在 TXT 中发布 MagicDNS 提示(旧版:OPENCLAW_TAILNET_DNS)。OPENCLAW_CLI_PATH覆盖广播的 CLI 路径(旧版:OPENCLAW_CLI_PATH)。
相关文档
- 发现策略和传输选择:发现
- 节点配对 + 审批:网关(Gateway)配对
