anleitung openclaw selfhosting ki sicherheit

OpenClaw selbst hosten mit HomeGate: Sicherer Zugriff auf deinen KI-Agenten

So machst du deine selbst gehostete OpenClaw-Instanz mit automatischem SSL, IP-Allowlisting und ohne Port-Forwarding über HomeGate erreichbar.

HomeGate Team ·

OpenClaw ist eines der meistdiskutierten Open-Source-Projekte des Jahres und hat die 250.000-Sterne-Marke auf GitHub schneller geknackt als jedes andere Projekt zuvor. Falls du es noch nicht kennst: Es ist ein selbst gehosteter KI-Agent, der sich mit WhatsApp, Telegram, Discord und mehr verbindet. Er kann Smart-Home-Geräte steuern, deine E-Mails verwalten, Fragen anhand deiner eigenen Dokumente beantworten und vieles tun, wofür du normalerweise ein halbes Dutzend SaaS-Produkte bräuchtest.

Der entscheidende Punkt: Alles läuft auf deiner eigenen Hardware. Deine Gespräche, deine Daten, deine API-Keys. Nichts verlässt dein Netzwerk, es sei denn, du willst es so.

Aber es gibt einen Haken. Wenn du OpenClaw von unterwegs erreichen willst (vom Handy aus, oder über eine Webhook-Integration), musst du es ins Internet stellen. Und genau da wird es kompliziert.

Das Problem mit der Erreichbarkeit

OpenClaw zu Hause zum Laufen zu bringen ist einfach. Docker Compose, ein paar Umgebungsvariablen, fertig. Die Web-Oberfläche läuft standardmäßig auf Port 3080, und du kannst sie von jedem Gerät in deinem lokalen Netzwerk erreichen.

Schwierig wird es, wenn du den Dienst von außen erreichbar machen willst. Der klassische Weg sieht so aus:

  1. Statische IP besorgen oder dynamisches DNS einrichten
  2. Port 3080 am Router weiterleiten
  3. Reverse Proxy aufsetzen (nginx, Caddy, Traefik)
  4. SSL-Zertifikat mit Let’s Encrypt holen
  5. Firewall konfigurieren
  6. Hoffen, dass dein ISP kein CGNAT nutzt

Der letzte Punkt ist für viele ein K.O.-Kriterium. Wenn dein ISP CGNAT (Carrier-Grade NAT) einsetzt, funktioniert Port-Forwarding schlicht nicht. Dein Router hat keine echte öffentliche IP, und daran lässt sich durch Konfiguration nichts ändern.

Selbst ohne CGNAT offenbart dieses Setup deine Heim-IP jedem, der deine Domain nachschlägt. Bei einem Dienst, der deine privaten Gespräche und Smart-Home-Steuerung verwaltet, ist das nicht ideal.

Wie HomeGate das löst

HomeGate steht zwischen dem Internet und deinem Homeserver. Traffic kommt über unsere Infrastruktur rein, wird durch einen sicheren Tailscale-Tunnel zu deinem Rechner geleitet, und deine Heim-IP taucht nirgends auf.

Das bekommst du:

  • Automatisches HTTPS. SSL-Zertifikate werden ohne Konfiguration bereitgestellt und erneuert.
  • Versteckte IP. Deine Heimadresse bleibt privat. Besucher sehen die IP von HomeGate, nicht deine.
  • Funktioniert hinter CGNAT. Kein Port-Forwarding, keine statische IP nötig.
  • IP-Allowlisting. Schränke ein, wer auf deine OpenClaw-Instanz zugreifen kann, nach IP-Adresse oder CIDR-Bereich.
  • Eigene Domains. Nutze openclaw.deinedomain.de oder eine kostenlose *.homegate.sh-Subdomain.

Schritt für Schritt: OpenClaw mit HomeGate freigeben

1. Stelle sicher, dass OpenClaw läuft

Falls du OpenClaw noch nicht eingerichtet hast, führt dich die offizielle Dokumentation durch den Prozess. Das Docker-Compose-Setup ist der einfachste Weg. Prüfe nach dem Start, ob du die Web-Oberfläche unter http://localhost:3080 erreichst.

2. Tailscale installieren

HomeGate verbindet sich über Tailscale mit deinem Server. Installiere es auf dem Rechner, auf dem OpenClaw läuft:

Linux:

curl -fsSL https://tailscale.com/install.sh | sh
tailscale up

macOS/Windows: Lade es von tailscale.com/download herunter und folge dem Setup-Assistenten.

3. HomeGate-Konto erstellen

Registriere dich auf homegate.sh. Jeder Plan funktioniert für HTTP-Dienste.

4. OpenClaw als Dienst hinzufügen

Erstelle im HomeGate-Dashboard einen neuen Dienst:

  • Name: z. B. “openclaw”
  • Tailscale-Auth-Key: der Key, den HomeGate für die Verbindung bereitstellt
  • Ziel: deine Tailscale-IP und der OpenClaw-Port (z. B. 100.x.x.x:3080)

HomeGate erstellt automatisch eine Subdomain (z. B. openclaw.homegate.sh) mit HTTPS.

5. Zugriff per IP-Allowlisting absichern

OpenClaw hat eine eigene Authentifizierung, aber eine zusätzliche Einschränkung auf Netzwerkebene ist eine kluge Sicherheitsschicht. Gehe im HomeGate-Dashboard zu den Schutzeinstellungen deines Dienstes und trage deine bekannten IP-Adressen oder CIDR-Bereiche ein.

Wer nicht auf der Liste steht, wird blockiert, bevor die Anfrage deinen Server erreicht.

6. (Optional) Eigene Domain hinzufügen

Wenn du etwas wie ai.deinedomain.de haben möchtest, erstelle einen CNAME-Eintrag, der auf deine HomeGate-Subdomain zeigt:

ai.deinedomain.de  CNAME  openclaw.homegate.sh

Das SSL-Zertifikat wird automatisch bereitgestellt, sobald der DNS-Eintrag propagiert ist. Dauert normalerweise weniger als eine Minute.

Webhook-Integrationen

Einer der Gründe, warum du OpenClaw aus dem Internet erreichbar machen willst, sind Webhooks. WhatsApp-, Telegram- und Discord-Integrationen benötigen in der Regel eine öffentlich erreichbare URL für Callbacks.

Mit HomeGate hat deine OpenClaw-Instanz einen stabilen HTTPS-Endpoint, an den diese Dienste Events senden können. Kein dynamisches DNS, keine Sorge, dass sich deine IP über Nacht ändert.

Sicherheitshinweise

OpenClaw verarbeitet sensible Daten: deine Gespräche, Smart-Home-Zugangsdaten, API-Keys für verschiedene Dienste. Ein paar Dinge, die du beachten solltest:

  • Nutze IP-Allowlisting. Auch wenn OpenClaw einen eigenen Login hat: Zugriffsbeschränkung auf Netzwerkebene bedeutet, dass nur Traffic von deinen bekannten IPs die Anwendung erreicht.
  • Nutze Header-Authentifizierung. HomeGate unterstützt die Anforderung eines eigenen Headers (z. B. X-Auth-Token: dein-geheimnis) für jede Anfrage. Nützlich als zusätzliche Hürde vor der OpenClaw-eigenen Authentifizierung.
  • Halte OpenClaw aktuell. Das Projekt entwickelt sich schnell. Sicherheitspatches werden häufig veröffentlicht. Aktualisiere das Docker-Image regelmäßig.
  • Verwende starke Zugangsdaten. Klingt offensichtlich, ist aber wichtig. Nutze ein einzigartiges, starkes Passwort für dein OpenClaw-Admin-Konto und aktiviere 2FA, falls das Projekt es unterstützt.

Fazit

OpenClaw selbst zu hosten gibt dir die volle Kontrolle über einen extrem leistungsfähigen KI-Agenten. Ihn von außen erreichbar zu machen muss nicht bedeuten, bei der Sicherheit Kompromisse einzugehen oder gegen die Netzwerkkonfiguration deines ISPs zu kämpfen.

HomeGate übernimmt die Proxy-Schicht, SSL und IP-Schutz, damit du dich auf die Nutzung konzentrieren kannst. Die gesamte Einrichtung dauert etwa 5 Minuten.

Erstelle ein HomeGate-Konto und probier es aus.

← Zurück zum Blog