リモート Mac の OpenClaw には SSH ローカル転送（-L）と Tailscale Serve のどちらを使うべきですか？

公開リスナーを増やしたくない、bastion 経由の SSH 監査に揃えたい、個人のデバッグや短期の委託アクセスなら SSH -L を優先します。全クライアントが同一 tailnet におり、ブックマーク可能な安定 URL を共有したいなら Tailscale Serve が向きます。tailnet 参加と ACL 許可は別問題なので混同しないでください。

トンネルは張れたのにブラウザが真っ白や 502 になる場合、最初に何を確認しますか？

Mac 上で 127.0.0.1 と実際のゲートウェイポートに curl します。localhost で失敗するなら OpenClaw プロセス側の不具合です。Mac 単体では成功する場合は、-L の宛先（Mac 側 127.0.0.1）、ノート PC のローカルポート競合、http と https の取り違えを確認します。

Windows や Linux で SSH トンネルがアイドルで切れるのを防ぐには？

クライアントに ServerAliveInterval と ServerAliveCountMax を設定し、TCPKeepAlive を有効にします。Linux では autossh や systemd ユーザユニットも有効です。ホテル Wi‑Fi や企業プロキシは無音 TCP を途中で落としがちです。

デプロイガイド 2026-03-27 9 分

2026年 OpenClaw リモートゲートウェイ再現チュートリアル：SSH ローカル転送 vs Tailscale Serve の選び方（Windows/Linux から macOS 物理ノードへの設定・トラブルシュート・FAQ）

Windows や Linuxからデバッグしつつゲートウェイを物理の macOS ノード（レンタル Mac 含む）で動かすと、ループバック限定リスナーとNAT／公開のトレードオフの二種類で躓きがちです。本稿は SSH -L と Tailscale Serve の意思決定マトリクス、7 ステップの再現手順、引用しやすいパラメータ 3 点、症状別のFAQをまとめます。

2026年 OpenClaw リモートゲートウェイと SSH ローカル転送、Tailscale Serve のセキュアなネットワーク

1. はじめに：デスクトップにゲートウェイを届ける二つの道

OpenClaw のゲートウェイは誤公開を避けるため、既定で 127.0.0.1 にバインドしていることが多いです。データセンターでは正しい一方、Windows ノートからは不便なので、暗号化された SSH パイプでポートを手元のループバックに載せ替えるか、Mac を Tailscale tailnet に参加させ Serve でゼロトラスト上の入口を作る、のどちらかになります。

ポートは固定しません。openclaw 設定の実値に置き換えてください。8787 は例示です。まずノードへ本体を入れる手順は 2026年 OpenClaw v2026.4 最新インストール手順：ZoneMac物理ノードで24/7高可用AIエージェントを構築するを参照してください。24/7 で落ちない土台づくりは 2026年のOpenClaw長時間実行におけるMac miniの安定性最適化ガイドと併せると、トンネル以前の障害を切り分けやすくなります。

2. よくある落とし穴（リモート Mac 三点）

転送先の取り違え。 -L の「遠い側」はMac 自身から到達できるアドレスである必要があります。ゲートウェイがループバックのみなら、リモート側の宛先は 127.0.0.1:8787（例）であり、ノート PC の LAN IP ではありません。
無言の TCP 切断。 家庭用ルータ、ホテル Wi‑Fi、企業プロキシはアイドル接続を落としがちです。ServerAliveInterval（Linux なら autossh）が無いと「昼休みまでは動いた」のように見えます。
tailnet 参加＝ACL 許可と思い込む。 Serve も tailnet の ACL とデバイスポリシーを尊重します。「ping は通るのに HTTP だけ死ぬ」はタグやパスが許可されていない典型パターンです。

3. 意思決定マトリクス：SSH -L と Tailscale Serve

標準化前に表で擦り合わせます。コンプライアンス上公開リスナーを増やせない・SSH bastion 一本なら SSH 寄り。全員がすでに tailnet におり、ブックマーク可能な URL を共有したいなら Serve が認知負荷を下げます。

観点	SSH ローカル転送（-L）	Tailscale Serve
前提	Mac で sshd 有効、クライアントが 22 番（またはジャンプホスト）に到達できる	Mac とクライアントが同一 tailnet、ACL でフローが許可されている
典型的な UX	トンネル存続中だけ `127.0.0.1:localPort` をユーザーごとに使う	安定した tailnet ホスト名＋ HTTPS（形状は Tailscale のリリースに依存）
監査と身元	OS ユーザーと sshd ログ、bastion 手順書に載せやすい	デバイス身元＋ tailnet 方針、アプリ層の監査は別途設計
NAT／公開境界	ジャンプホストと相性がよく、ゲートウェイポートを外向きに出さなくてよいことが多い	tailnet 内で閉じる。Funnel 等は別途脅威モデルが要る
向いている場面	個人デバッグ、短期の委託者アクセス、SSH 統制の厳しい企業	tailnet ファーストの小規模チーム、社内ツールの共有

4. 展開手順：Mac から Win/Linux まで 7 ステップ

Mac 上のリスナーとポートを確定する。 ゲートウェイの health／status を使います。localhost のみなら 127.0.0.1:8787（例）を想定し、影響範囲を理解するまで 0.0.0.0 への拡大は避けます。
リモートログインをオンにする。 システム設定 → 一般 → 共有 → リモートログイン。ユーザを絞ります。ZoneMac のような提供形態では SSH ユーザと鍵ローテーションの規定に従ってください。RTT とコンプライアンスに合わせてリージョンを選ぶ場合は、別稿でマルチリージョン Mac クラウドの選び方を整理しています。
Windows：PowerShell の OpenSSH クライアント。 例（ユーザ・ホスト・ポートは置換）：
```
ssh -N -L 18787:127.0.0.1:8787 [email protected] `
  -o ServerAliveInterval=60 `
  -o ServerAliveCountMax=3
```
その後 http://127.0.0.1:18787 を開きます（ゲートウェイが TLS 終端なら https:// と自己署名警告に注意）。
Linux：同じフラグ、必要なら常駐化。 転送のみなら -N。常時接続は autossh や systemd ユーザユニットで包みます。
任意：Tailscale Serve。 Mac に Tailscale を入れログインし、現行 CLI に従いローカル HTTP(S) を tailnet に公開します。必ず Mac 上で curl してから、別 tailnet 端末で確認します。
検証し、証跡を残す。 動作したコマンド行、使えた ssh -G の断片、ゲートウェイの版文字列を保管し、次のインシデントで考古学にならないようにします。
権限を絞る。 人ごとに鍵を分け、macOS アカウントを分ける、ジャンプボックスで forced command を使う、など。チーム共用の秘密鍵一本は避けます。

5. 引用しやすいパラメータ

ローカル側ポート： 空いている 1024–65535 から選び、リモートと一致させる必要はありません。対応が一目で分かるよう 18787 → 8787 のように離しておくと運用しやすいです。
SSH キープアライブ： 出発点として ServerAliveInterval=60 秒と ServerAliveCountMax=3 がよく使われます。パケット損失の多い経路なら倍／半分で調整します。
消費電力の文脈： Apple Silicon Mac mini のアイドル電力は概ね約 4W 前後と言われます（目安であり計測証明書ではありません）。ゲートウェイを 24/7 で載せる TCO 説明の材料になります。

6. トラブルシュートと FAQ

トンネルは生きているのにページが真っ白／502？

Mac で curl -v http://127.0.0.1:8787/（実際のヘルスパスに合わせる）を実行します。ここで失敗するなら SSH ではなくゲートウェイプロセスの問題です。Mac 単体で成功するなら、ノート側のポート競合と http/https の取り違えを疑います。

Windows がホスト鍵が変わったと警告する？

OS 再インストールや IP の再利用後は %USERPROFILE%\.ssh\known_hosts の古い行を削除します。StrictHostKeyChecking を恒久的に無効化するより、安定したホスト名と管理された鍵を優先します。

Serve で HTML は出るが WebSocket やストリームが落ちる？

企業網の TLS インスペクション、http/https 混在、Host: localhost を期待するフレームワークなどが疑われます。素の SSH 転送と A/B 比較して層を切り分けます。

7. 常時稼働ゲートウェイに Mac mini が向く理由

エージェントとゲートウェイを macOS で常時動かすと、Apple Silicon の統合メモリ帯域と極めて低いアイドル電力が効き、「つけっぱなし」の経済性が現実的になります。Mac mini は静音でコンパクトであり、オフィスやコロケーションのスロットにタワー PC 群より載せやすいです。ネイティブの Unix ツールチェーン、実績のある sshd、Homebrew により、Windows ホスト経由で転送するときのドライバ摩擦を減らせます。

セキュリティでは Gatekeeper、SIP、FileVault が重なり、多くの汎用 Windows サーバよりデフォルトの攻撃面が小さくなりがちです。ゲートウェイをループバックのみに留め、入口を SSH か Tailscale に限定すれば、最小権限のネットワーク設計に近づけます。

本稿の転送手順を、静音で電力特性が読みやすい Apple Silicon 上で安定運用したいなら、2026 年時点で Mac mini M4 は有力な入口の一つです。ZoneMac で物理リモートノードを確認し、上の 7 ステップをそのままチェックリストとして潰してから運用確定に進んでください。

リモート Mac キャパシティ

物理 Mac mini で OpenClaw ゲートウェイを運用

ZoneMac は Apple Silicon ベアメタルと SSH アクセスを提供します。本記事のトンネル設定をノードにそのまま適用できます。

低アイドル電力ネイティブ sshd マルチリージョン