Warum liefert Cursor oder curl HTTP 401, obwohl das Token lokal auf dem Mac funktioniert?

Der Client spricht oft einen anderen Hostnamen oder Pfad an als der Prozess, der Bearer-Token prüft: ein Reverse Proxy kann das Präfix /v1 streifen oder verdoppeln, TLS auf einem anderen vhost beenden oder einen anderen Authorization-Header injizieren. Reproduzieren Sie mit curl -v gegen die exakte öffentliche URL, vergleichen Sie mit curl auf 127.0.0.1 am Mac, und gleichen Sie dann proxy_pass-Regeln sowie die Cursor-Base-URL an, sodass beide dasselbe kanonische Pfadlayout nutzen.

Welche TLS-Fehler deuten eher auf eine Proxy-Fehlkonfiguration als auf ein abgelaufenes Zertifikat hin?

Handshake-Fehler direkt nach SNI, wenn mehrere Zertifikate eine IP teilen, weisen oft auf den falschen Server-Block oder fehlendes proxy_protocol hin. Namens-Mismatch am Edge bei in Ordnung befindlichem Origin-Zertifikat bedeutet, dass Clients den falschen Hostnamen ansprechen. Behebung: einen öffentlichen Hostnamen festlegen, am Proxy ein Zertifikat für diesen Namen ausliefern und Upstream zu localhost nur bei Bedarf erneut mit TLS absichern.

Warum laufen Chat-Anfragen von ausländischen Laptops ins Timeout, im LAN aber nicht?

Lange Round-Trip-Zeiten verstärken TLS- und HTTP/2-Idle-Verhalten; Reverse Proxies und CDNs können kürzere read_timeouts nutzen als Ihr Modell für lange Generierungen braucht. Erhöhen Sie proxy_read_timeout und Keep-Alive über die schlimmste Token-Latenz hinaus, vermeiden Sie doppelte Proxies, sofern nicht beide Streaming unterstützen, und testen Sie mit curl --max-time passend zu Ihrer SLO.

Soll die Cursor-„OpenAI Base URL“ /v1 enthalten?

Passen Sie an, was Ihr OpenAI-kompatibler Client anhängt: die meisten Stacks erwarten eine Base URL ohne abschließenden Schrägstrich und ergänzen selbst /v1/chat/completions. Ist das Gateway unter einem Unterpfad wie /gateway gemountet, tragen Sie https://host/gateway ein und prüfen Sie einen Beispielpfad mit DevTools oder curl, um doppelte /v1/v1-Segmente zu vermeiden.

Bereitstellungs-Leitfaden 2026-04-10 11 Min

2026 OpenClaw Gateway als OpenAI-kompatible API: Wie Cursor und Skripte einen physischen Fern-Mac anbinden

Teams, die Cursor oder CI-Skripte auf ein OpenClaw Gateway auf einem unbeaufsichtigten Mac richten, scheitern oft an drei Nahtstellen: Zusammensetzung der Base URL, Weiterleitung des Bearer-Tokens und Pfad-Umschreibung am Reverse Proxy. Dieser Artikel liefert einen für 2026 gültigen Vertrag für OpenAI-kompatible Aufrufe, eine Entscheidungsmatrix für Edge vs. Direktzugriff, sieben Prüfschritte, zitierfähige Schwellen und eine FAQ zu 401, TLS und Timeouts—zum Einfügen in Runbooks. Ergänzend zur reinen Gateway-Konfiguration hilft OpenClaw Webhooks & Hooks mit Token-Auth und Reverse-Proxy bei CI-getriggerten Pfaden.

OpenClaw Gateway OpenAI-kompatible API Base URL Bearer Reverse-Proxy physischer Fern-Mac 2026

1. Warum OpenAI-ähnliche Clients an der Gateway-Kante brechen

OpenClaw Gateway kann dieselben HTTP-Oberflächen wie gängige LLM-APIs sprechen, aber „OpenAI-kompatibel“ ist ein Vertrag: Base URL, Pfad (/v1/…), Authorization: Bearer und TLS-Identität müssen zu dem passen, was das Gateway tatsächlich validiert. Physische Fern-Macs bringen SSH-Tunnel, Firmen-Proxies und Split-DNS—jede Schicht kann eines dieser Felder umschreiben.

Doppelte Pfade: Ein Edge, das bereits /v1 mountet, plus ein Client, der /v1/chat/completions anhängt, erzeugt 404 oder stille Redirects—Cursor und SDKs zeigen die finale URL kaum, außer Sie sniffen den Verkehr.
Bearer-Drift: In CI-Secrets kopierte Token entfallen manchmal auf das Präfix Bearer oder kollidieren mit Proxy-Basic-Auth; das Gateway sieht ein leeres oder falsches Credential, während lokales curl auf 127.0.0.1 weiter funktioniert.
Timeout-Asymmetrie: Interaktive Tools gehen von LAN-Latenz aus; grenzüberschreitende RTT plus TLS und HTTP/2-Priorisierung können Standard-read_timeout des Proxies bei langen Generierungen übersteigen. Teams, die UI über Regionen automatisieren, treffen dieselbe Fehlerklasse—siehe 2026: Grenzüberschreitende UI-Automatisierung mit Mac-mini-Knoten zu parallelen physischen Macs.

2. Entscheidungsmatrix: Cursor vs. Skripte vs. CI

Wählen Sie pro Umgebung eine Zeile und halten Sie die Base URL zwischen Mensch und Automation identisch, sofern Sie keinen dokumentierten Split fahren (z. B. CI über einen Service Mesh).

Client	Konfiguration	Typische Falle
Cursor (benutzerdefiniertes OpenAI)	Base URL auf Ihren HTTPS-Ursprung überschreiben; API-Key-Feld = Gateway-Bearer-Geheimnis.	Workspace- vs. globale Einstellungen divergieren; ein Ordner zeigt noch auf api.openai.com.
Offizielle OpenAI-SDKs	`OPENAI_BASE_URL` + `OPENAI_API_KEY`; mit minimaler Chat-Completion prüfen.	Org-/Projekt-Header aus Cloud-Docs verwechseln Gateways, die nur Bearer prüfen.
curl / GitHub Actions	Explizit `-H "Authorization: Bearer …"` und volle URL bis `…/v1/chat/completions`.	In Logs maskierte Secrets scheitern trotzdem, wenn der Job HTTP gegen einen nur-HTTPS-Edge nutzt.

3. Siebenstufiges Anbindungs-Runbook

Localhost-Nachweis: Auf dem Mac curl -sS -H "Authorization: Bearer $TOKEN" http://127.0.0.1:<port>/v1/models (oder dokumentierte Discovery-Route). Schlägt das fehl, launchd oder Bind-Adresse vor DNS reparieren.
Externe URL einfrieren: Ein Hostname, eine Pfadpräfix-Politik. Beispiel: öffentlich https://gw.example.com mit nginx-location /v1/ nach http://127.0.0.1:<port>/v1/ ohne doppeltes Entfernen.
Bearer-Vertrag: Proxies müssen Authorization weiterreichen; wenn Sie Auth am Edge beenden, dasselbe Geheimnis injizieren, das das Gateway erwartet—Schemata nicht still mischen.
Cursor angleichen: Dieselbe Base URL wie bei curl (Schema + Host + optionaler Präfix). Kurzen Prompt senden; bei Fehler die URL aus DevTools oder Gateway-Logs erfassen.
Skript-Parität: Identische Anfrage aus CI mit --fail-with-body, damit HTTP 401 als harter Fehler sichtbar wird.
Timeout-Budget: Client---max-time und Proxy-proxy_read_timeout ≥ 120 s für lange Completions auf hoher RTT (an Modell-SLO anpassen).
Kontinuierlicher Check: Stündlich von außerhalb des LAN /v1/models oder Health mit Bearer—Alarm bevor am Montag wieder Cursor geöffnet wird. Zu Daemon-Zuverlässigkeit auf derselben Knotenklasse siehe Mac-mini-Langzeitstabilität für OpenClaw (2026).

4. Zitierfähige Schwellen (für interne SLO-Entwürfe)

401-Triage-SLA: Localhost vs. öffentlich innerhalb von 5 Minuten mit gepaarten curl-Traces differenzieren—falsch geroutete Pfade dominieren, nicht Token-Entropie.
TLS-Prüfrhythmus: Edge-Zertifikate und Zwischenketten bei jedem macOS-Minor-Upgrade des Gateway-Hosts neu validieren; Keychain und Proxy-Vertrauensspeicher wandern gemeinsam.
Timeout-Untergrenze: Für generative Aufrufe über Grenzen hinweg Anwendungs- und Proxy-Idle-Timer mindestens auf 2× beobachtetes P95 Time-to-first-token setzen, bevor ein Fehler deklariert wird.

5. FAQ: 401, TLS und Timeouts

HTTP 401 Unauthorized

Vergleichen Sie drei Payloads: (1) curl zu localhost mit Bearer, (2) curl zum öffentlichen Hostnamen mit Bearer, (3) Cursor- oder SDK-Verkehr am Proxy. Wenn (1) geht und (2) scheitert, frisst oder ersetzt Ihr Edge Authorization. Wenn (2) geht und Cursor scheitert, zielt die IDE noch auf eine veraltete Base URL—pro Workspace zurücksetzen.

TLS- / Zertifikatsfehler

Prüfen Sie, ob der Name auf dem Zertifikat zum Hostnamen passt, den Clients eingeben. Gemischte http://-Redirects auf https:// mit anderem Hostnamen sind häufige Quelle von SSL: certificate subject name mismatch. TLS einmal am Edge beenden; redundantes TLS zu localhost vermeiden, außer Sie betreiben eine interne PKI und vertrauen ihr überall.

Timeouts und „leere Hänger“

Proxy- und Client-Timeouts gemeinsam erhöhen. Stocken Streaming-Antworten, prüfen Sie, ob HTTP/2 von einem Zwischenglied gepuffert wird, das auf den vollen Body wartet. Testen Sie mit curl -N für Streaming-Verhalten.

6. Warum Mac-mini-Klasse für diese Gateway-Rolle passt

Eine OpenAI-kompatible Kante auf einem Fern-Mac hängt weniger von rohen TFLOPS ab als von dauerhafter Zuverlässigkeit: Apple-Silicon-Leerlauf oft im niedrigen einstelligen Wattbereich, macOS-Absturzraten bleiben über monatelange Laufzeiten winzig, und die Unix-Toolchain (launchd, ssh, Homebrew) entspricht dem, wie Teams Gateways ohnehin betreiben. Unified Memory hält gleichzeitige HTTP- und lokale Tool-Aufrufe ohne die NUMA-Überraschungen vieler DIY-x86-Boxen flüssig.

Gatekeeper, SIP und FileVault senken zudem das Malware-Risiko unbeaufsichtigter Knoten gegenüber typischen Windows-Fleet-Images—relevant, wenn Ihre Admin-Ebene TLS für Cursor und CI-Secrets beendet. Wollen Sie dieses Muster ohne Tower-Betreuung, bleibt ein Mac mini M4 eine der kostenvorhersehbarsten Hosting-Optionen.

Wenn Sie Fern-Gateways für Agenten und IDEs standardisieren, setzen Sie die Last auf Hardware, die leise, effizient und für macOS gebaut ist—entdecken Sie Mac-mini-Optionen bei ZoneMac und wechseln Sie von „läuft auf meinem Laptop“ zu einem dokumentierten Produktionsvertrag.

Physisches Mac-Gateway

Brauchen Sie einen physischen Mac für OpenClaw rund um die Uhr?

Mieten Sie einen Mac-mini-Knoten mit der Stabilität und den Netzpfaden, die Ihr OpenAI-kompatibles Gateway verdient.

Niedriger Leerlauf Natives macOS SSH-bereit